You are on page 1of 270

http://www.compliancenet.it/ http://www.cmaconsulting.

it/

Panfilo Marcelli

Sei lezioni sulla privacy
corso di formazione per le aziende
con casi pratici ed esercitazioni
Aggiornato ai
nuovi
adempimenti per
le funzioni di
amministratore
di sistema

versione 2.2
6 novembre 2009
(Introduzione, Lezione 1, Lezione 2, Lezione 3, Lezione 4, Lezione 5)
http://www.compliancenet.it/content/6-lezioni-sulla-privacy

Creative Commons Attribuzione - Non commerciale 2.5 Italia License
http://creativecommons.org/licenses/by-nc/2.5/it/

Creative Commons Attribuzione - Non commerciale 2.5 Italia License
http://creativecommons.org/licenses/by-nc/2.5/it/

Commons Deed

Tu sei libero:

• di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico,
rappresentare, eseguire e recitare quest'opera

• di modificare quest'opera

Alle seguenti condizioni:

• Attribuzione. Devi attribuire la paternità dell'opera nei modi indicati dall'autore
o da chi ti ha dato l'opera in licenza e in modo tale da non suggerire che essi
avallino te o il modo in cui tu usi l'opera.

• Non commerciale. Non puoi usare quest'opera per fini commerciali.

• Ogni volta che usi o distribuisci quest'opera, devi farlo secondo i termini di questa licenza,
che va comunicata con chiarezza.
• In ogni caso, puoi concordare col titolare dei diritti utilizzi di quest'opera non consentiti da
questa licenza (p.marcelli@cmaconsulting.it).
• Questa licenza lascia impregiudicati i diritti morali.

Limitazione di responsabilità
Le utilizzazioni consentite dalla legge sul diritto d'autore e gli altri diritti non sono in alcun modo
limitati da quanto sopra.
Questo è un riassunto in linguaggio accessibile a tutti del Codice Legale (la licenza integrale)1.

1
http://creativecommons.org/licenses/by-nc/2.5/it/legalcode

Indice

Indice
INDICE.........................................................................................................I
INTRODUZIONE ...................................................................................... 1
LEZIONE 1 – INTRODUZIONE ALLA PRIVACY ............................ 7
CASO DI STUDIO A – ARCOBALENI196 E LA PRIVACY .................................. 9
UNITÀ DIDATTICA 1.1 – IL DIRITTO ALLA PROTEZIONE DEI DATI
PERSONALI ............................................................................................... 15
Modulo 1.1.1 – Mini glossario............................................................. 16
Modulo 1.1.2 – Sintesi delle norme sulla privacy ............................... 17
Modulo 1.1.3 – Quadro normativo ...................................................... 18
DOMANDE DI VERIFICA 1.1...................................................................... 19
UNITÀ DIDATTICA 1.2 – IL GARANTE PER LA PROTEZIONE DEI DATI
PERSONALI ............................................................................................... 21
Modulo 1.2.1 – L’ufficio del Garante .................................................. 22
Modulo 1.2.2 – Ispezioni del Garante ................................................. 24
Modulo 1.2.3 – Nucleo speciale funzione pubblica e privacy della
Guardia di Finanza .............................................................................. 25
DOMANDE DI VERIFICA 1.2...................................................................... 26
UNITÀ DIDATTICA 1.3 – LE PRINCIPALI NORME SULLA PRIVACY............ 27
Modulo 1.3.1 – Codice in materia di protezione dei dati personali.... 28
Modulo 1.3.2 – Allegati al Codice ....................................................... 31
Modulo 1.3.3 – Allegato B - Disciplinare tecnico in materia di misure
minime di sicurezza .............................................................................. 32
Modulo 1.3.4 – Le “semplificazioni” del 2008 sulla sicurezza e la
notificazione ......................................................................................... 37
Modulo 1.3.5 – I nuovi adempimenti per le funzioni di “amministratore
di sistema”............................................................................................ 39
Modulo 1.3.6 – Gli “inasprimenti” delle sanzioni del 30 dicembre
2008 ...................................................................................................... 41
DOMANDE DI VERIFICA 1.3...................................................................... 43
RISPOSTE ALLE DOMANDE DI VERIFICA DELLA LEZIONE 1 ..................... 44
LEZIONE 2 – ORGANIZZAZIONE DELLA PRIVACY .................. 47
CASO DI STUDIO B - ARCOBALENI196 SI ORGANIZZA ................................ 49
I

Creative Commons Attribuzione - Non commerciale 2.5 Italia License

Indice

UNITÀ DIDATTICA 2.1 – PRINCIPALI ADEMPIMENTI PREVISTI DAL CODICE
................................................................................................................. 57
Modulo 2.1.1 – L’informativa .............................................................. 58
Modulo 2.1.2 – Il consenso .................................................................. 61
Modulo 2.1.3 – La notificazione .......................................................... 66
Modulo 2.1.4 – Il trasferimento dei dati in paesi terzi ........................ 71
Modulo 2.1.5 – Le lettere di incarico .................................................. 72
Modulo 2.1.6 – Le misure di sicurezza ................................................ 74
Modulo 2.1.7 – La formazione ............................................................. 76
Modulo 2.1.8 – I diritti degli interessati .............................................. 78
Modulo 2.1.9 – Check list di verifica degli adempimenti.................... 80
DOMANDE DI VERIFICA 2.1...................................................................... 82
UNITÀ DIDATTICA 2.2 – PROVVEDIMENTI PIÙ RILEVANTI PER LE AZIENDE
................................................................................................................. 83
Modulo 2.2.1 – Iniziative e provvedimenti del Garante ...................... 84
Modulo 2.2.2 – I nuovi adempimenti per le funzioni di “amministratore
di sistema”............................................................................................ 86
Modulo 2.2.3 – Semplificazioni degli adempimenti............................. 87
Modulo 2.2.4 – Banche: la “guida” del Garante per l'uso dei dati dei
clienti .................................................................................................... 90
Modulo 2.2.5 – Privacy e pubblico impiego: le “linee guida” del
Garante................................................................................................. 91
Modulo 2.2.6 – Linee guida del Garante per posta elettronica e
internet.................................................................................................. 92
Modulo 2.2.7 – Linee guida per il trattamento di dati dei dipendenti
privati ................................................................................................... 93
Modulo 2.2.8 – Impronte digitali e altri sistemi biometrici ................ 94
Modulo 2.2.9 – Videosorveglianza ...................................................... 97
Modulo 2.2.10 – Altri provvedimenti e pubblicazioni ......................... 98
DOMANDE DI VERIFICA 2.2.................................................................... 100
UNITÀ DIDATTICA 2.3 – ORGANIZZAZIONE DELLA PRIVACY ................ 101
Modulo 2.3.1 – Il censimento dei dati personali ............................... 102
Modulo 2.3.2 – Il censimento dei dati personali – elementi da
catalogare........................................................................................... 103
Modulo 2.3.3 – I soggetti che effettuano il trattamento .................... 105
Modulo 2.3.4 – Titolare, contitolare o responsabile esterno ............ 107
Modulo 2.3.5 – Nomina del responsabile interno ............................. 108
II

Creative Commons Attribuzione - Non commerciale 2.5 Italia License

Indice

Modulo 2.3.6 – Nomina del responsabile esterno ............................. 109
DOMANDE DI VERIFICA 2.3.................................................................... 110
RISPOSTE ALLE DOMANDE DI VERIFICA DELLA LEZIONE 2 ................... 111
LEZIONE 3 – PROTEZIONE DEI DATI PERSONALI.................. 113
CASO DI STUDIO C ARCOBALENI196 E LA SICUREZZA INFORMATICA ....... 115
UNITÀ DIDATTICA 3.1 – LA SICUREZZA INFORMATICA ......................... 123
Modulo 3.1.1 – Privacy e sicurezza ................................................... 124
Modulo 3.1.2 – Il quadro normativo della sicurezza informatica..... 126
Modulo 3.1.3 – Cos’è la sicurezza informatica? ............................... 131
Modulo 3.1.4 – Standard di sicurezza ............................................... 132
Modulo 3.1.5 – Analisi dei rischi – la teoria ..................................... 134
Modulo 3.1.6 – Analisi dei rischi – metodologie disponibili in italiano
............................................................................................................ 135
Modulo 3.1.7 – Analisi dei rischi – un approccio semplificato......... 136
Modulo 3.1.8 – Siti utili ed approfondimenti sulla sicurezza
informatica ......................................................................................... 138
DOMANDE DI VERIFICA 3.1.................................................................... 139
UNITÀ DIDATTICA 3.2 – IL DOCUMENTO PROGRAMMATICO SULLA
SICUREZZA ............................................................................................. 141
Modulo 3.2.1 – Domande frequenti sul DPS ..................................... 142
Modulo 3.2.2 – Tipologie di DPS ...................................................... 145
Modulo 3.2.3 –DPS – le novità normativa del 2009 ......................... 149
Modulo 3.2.4 – Un esempio di DPS (con licenza aperta) ................. 154
Modulo 3.2.5 – Analisi preliminare dell’azienda .............................. 156
Modulo 3.2.6 – Elenco dei trattamenti di dati personali................... 157
Modulo 3.2.7 – Distribuzione dei compiti e delle responsabilità...... 158
Modulo 3.2.8 – Analisi dei rischi che incombono sui dati ................ 160
Modulo 3.2.9 – Misure in essere........................................................ 164
Modulo 3.2.10 – Criteri e modalità di ripristino della disponibilità dei
dati...................................................................................................... 165
Modulo 3.2.11 – Pianificazione degli interventi formativi previsti... 166
Modulo 3.2.12 – Trattamenti affidati all’esterno .............................. 167
Modulo 3.2.13 – Adempimenti per la funzione di amministratore di
sistema ................................................................................................ 168
DOMANDE DI VERIFICA 3.2.................................................................... 171

III

Creative Commons Attribuzione - Non commerciale 2.5 Italia License

..............GESTIRE I DIRITTI DEGLI INTERESSATI ........................1 – Regolamento per l’uso delle risorse informatiche aziendali ........1 – Responsabilità del diritto d’accesso .1... 204 Modulo 4............... 174 Modulo 3. 234 Modulo 5.........................................3..............1.......................................................................................... 213 UNITÀ DIDATTICA 4........................ 235 Modulo 5............. 219 RISPOSTE ALLE DOMANDE DI VERIFICA DELLA LEZIONE 4 ........ 210 DOMANDE DI VERIFICA 4.. 216 Modulo 4.........1.....................................................1............. 173 Modulo 3..............2...........................................4 – Quesiti frequenti .........2...............2 – Regolamento su posta elettronica e internet.......................... 194 CASO DI STUDIO D ..................................................... 203 Modulo 4...............1 – GUIDA ALLA VIDEOSORVEGLIANZA ... 200 Modulo 4.........................3 – Adempimenti .....3 – Le verifiche interne................1 – ADEMPIMENTI RICHIESTI PER IL DIRITTO D’ACCESSO ................ 237 Modulo 5.... 214 Modulo 4....... 220 LEZIONE 5 ............ 178 Modulo 3..............................1 – I principi generali.......................................3....................................1........... 181 DOMANDE DI VERIFICA 3..................6 – Interventi più rilevanti del Garante sul diritto d’accesso .......VIDEOSORVEGLIANZA ........3......................................................................................2 – ORGANIZZARE IL DIRITTO D’ACCESSO ..3 – Diritto d’accesso esercitato presso terzi....................................... 176 Modulo 3.......................Non commerciale 2..................................2......... 217 DOMANDE DI VERIFICA 4............................. 201 Modulo 4. 224 UNITÀ DIDATTICA 5.................3...................1............................3...... Indice UNITÀ DIDATTICA 3........ 238 Modulo 5........ 222 CASO DI STUDIO E – LA VIDEOSORVEGLIANZA IN AZIENDA ......5 Italia License .... 190 RISPOSTE ALLE DOMANDE DI VERIFICA DELLA LEZIONE 3 .....1 – Mini glossario......................2 – Diritti dell’interessato ............................................................................4 – Le verifiche sull’amministratore di sistema........3 – LA PROTEZIONE DEI DATI PERSONALI IN PRATICA ...3 – Interventi più rilevanti del Garante sulla videosorveglianza........ 241 IV Creative Commons Attribuzione .1.......2 – Norme di riferimento ....................... 207 Modulo 4.............. 196 UNITÀ DIDATTICA 4.......... 191 LEZIONE 4 ....................................4 – Cosa si può videosorvegliare .............1......1.........................1...................3 – Procedura per il diritto d’accesso ............1......... 202 Modulo 4...DIRITTO D’ACCESSO ....................... 215 Modulo 4...............................2.......5 – Modello per esercitare il diritto d’accesso .....

.....2...5 – Check list sulla videosorveglianza .................. 244 UNITÀ DIDATTICA 5.............................................................5 – Registrazioni di immagini .. 259 RISPOSTE ALLE DOMANDE DI VERIFICA DELLA LEZIONE 5 ..1.Non commerciale 2..... 260 V Creative Commons Attribuzione .. 249 Modulo 5......... 250 Modulo 5...... 243 DOMANDE DI VERIFICA 5....4 – Modulistica per la videosorveglianza ........ 246 Modulo 5....2 – Analisi preliminare............ 247 Modulo 5..................5 Italia License ...........3 – Regolamento aziendale sulla videosorveglianza .......................2...............1 – Riepilogo degli adempimenti organizzativi..........2....2.............................. 256 DOMANDE DI VERIFICA 5.....2 – ORGANIZZARE LA VIDEOSORVEGLIANZA ....................2....................2........ Indice Modulo 5..... 251 Modulo 5..........................1..

Non commerciale 2.5 Italia License . Indice Pagina lasciata intenzionalmente bianca VI Creative Commons Attribuzione .

Videosorveglianza.arcobaleni196.5 Italia License . 6. 1.garanteprivacy. 4. 2 http://www. Protezione dei dati personali. Diritto di accesso. Introduzione alla privacy.Non commerciale 2. Per rispondere anche a tali esigenze è stato realizzato questo corso che si articola in sei lezioni.it 1 Creative Commons Attribuzione . se redatto. 5. la programmazione di interventi formativi per “rendere edotti” gli incaricati del trattamento di dati personali dei rischi che incombono sui dati e delle relative contromisure di sicurezza.it/garante/doc. 3. Introduzione Introduzione Questo testo è un corso di formazione sulle tematiche della privacy rivolto a coloro che lavorano in azienda. Marketing e comunicazioni commerciali. tra gli obblighi di sicurezza.jsp?ID=1311248 3 http://www. Come è noto il “Codice in materia di protezione dei dati personali” 2 prevede. Organizzazione aziendale per la privacy. la Arcobaleni1963 srl. 2. Gli argomenti vengono proposti ed approfonditi attraverso casi pratici simulando di operare all’interno di una media impresa manifatturiera. è inoltre necessario che la pianificazione della formazione sia riportata nel Documento Programmatico sulla Sicurezza.

dei sistemi di videosorveglianza. come di seguito specificato. Organizzazione aziendale per la privacy: descrive le misure organizzative che occorre adottare. anche non esclusive. la lezione si rivolge ai Responsabili privacy aziendali. vendite. 1. la lezione si rivolge ai dirigenti e quadri aziendali e a coloro che hanno responsabilità aziendali.5 Italia License . in ambito privacy. che devono essere applicate nel trattamento dei dati personali. controlli e sicurezza. dei diritti in relazione al trattamento dei dati personali. controlli e sicurezza. comunicazione. in azienda. la lezione si rivolge a tutti gli incaricati dei trattamenti e a coloro che hanno necessità di una overview generale. per garantire il rispetto delle norme in ambito privacy. la lezione si rivolge ai Responsabili privacy aziendale e a coloro che hanno responsabilità aziendali. Marketing e comunicazioni commerciali: contiene il quadro di riferimento per gli adempimenti privacy da rispettare nelle attività di commerciali. contenzioso. ad interlocutori diversi. la lezione si rivolge ai Responsabili privacy aziendali ed ai responsabili dei trattamenti di videosorveglianza. in azienda. reclami. 4. Le sei lezioni del testo si rivolgono. 2. Introduzione Percorsi formativi È opportuno che la formazione sulla privacy non venga svolta in maniera indifferenziata per tutti gli incaricati ma che. Introduzione alla privacy: illustra il quadro normativo della privacy sottolineando i principi di base e gli adempimenti di maggior rilievo. 3. 5. Protezione dei dati personali: approfondisce il tema delle misure di sicurezza. ai responsabili ed incaricati dei trattamenti degli uffici che si occupano di aspetti legali. Diritto di accesso: contiene le linee guida per la corretta gestione. sia predisposta una “struttura formativa modulare” in relazione alle tipologie di incarico al trattamento dei dati personali. in ambito privacy. minime ed idonee.Non commerciale 2. anche non esclusive. viceversa. ai responsabili ed incaricati dei trattamenti di marketing. dunque. 6. commerciale. in azienda. customer satisfaction. 2 Creative Commons Attribuzione . Videosorveglianza: contiene le indicazioni per la corretta gestione. la lezione si rivolge ai Responsabili privacy aziendali.

5 Italia License . 3 Creative Commons Attribuzione . Introduzione Le sei lezioni possono essere combinate secondo veri e propri “percorsi formativi” quali quelli di seguito proposti.Non commerciale 2. Corso per incaricati al trattamento dei dati personali lezione 1 Introduzione alla privacy Corso per Direzione lezione 1 Introduzione alla privacy lezione 2 Organizzazione aziendale per la privacy Corso per Responsabile dei trattamenti lezione 1 Introduzione alla privacy lezione 2 Organizzazione aziendale per la privacy lezione 3 Protezione dei dati personali lezione 4 Diritto di accesso lezione 5 Videosorveglianza Corso per Responsabile dei trattamenti con video sorveglianza lezione 1 Introduzione alla privacy lezione 2 Organizzazione aziendale per la privacy lezione 3 Protezione dei dati personali lezione 4 Diritto di accesso lezione 5 Videosorveglianza Corso per Responsabile dei trattamenti di marketing lezione 1 Introduzione alla privacy lezione 2 Organizzazione aziendale per la privacy lezione 3 Protezione dei dati personali lezione 4 Diritto di accesso lezione 6 Marketing e comunicazioni commerciali È ovviamente possibile far svolgere a particolari classi di incaricati l’intero corso per dare una formazione ed informazione più ampia.

dei dati personali protezione dei dati personali Unità Didattiche Domande DV11 Verifica di verifica la tua comprensione M111 M112 La privacy in Quadro normativo … Moduli Italia 4 Creative Commons Attribuzione . L1 Introduzione alla privacy Lezioni CS1 Caso di Arcobaleni196 studio e la privacy U11 U12 Il diritto Il Garante per la alla protezione …. Ogni lezione inizia con la descrizione di un “caso di studio” concreto che serve ad introdurre gli argomenti di seguito trattati. Dopo ogni unità didattica ci sono “domande di verifica” sugli argomenti trattati le cui soluzioni sono fornite in allegato al testo. Introduzione Organizzazione dei contenuti Ogni lezione si compone di unità didattiche. unità e moduli sono numerati così da facilitare sia i percorsi didattici sia il reperimento delle informazioni. Lezioni. ogni unità didattica è suddivisa in moduli.Non commerciale 2.5 Italia License .

più di una volta di non vedere la luce..cellucci@compliancenet.compliancenet.it/ 6 http://www. Panfilo Marcelli. delle relative linee guida. in particolare: • Cristina Cellucci per l’entusiasmo che mette in tutte le sue iniziative (questo corso non avrebbe visto luce senza il suo aiuto). Manlio Torquato e tutti coloro che hanno contribuito a tale documento non forniscono nessuna assicurazione né garanzia che l’uso di questo documento.it/ 5 http://www. correzione. Ringraziamenti Si ringrazia ComplianceNet e CMa Consulting per l’aiuto e l’assistenza nella redazione di questo corso.5 Italia License .it 5 Creative Commons Attribuzione .torquato@gmail. Cristina Cellucci.cmaconsulting.it • Manlio Torquato per la revisione.arcobaleni196. 4 http://www. Introduzione Il sito web collegato al libro Questo testo viene diffuso attraverso i siti ComplianceNet4 e CMa Consulting5.com Limitazione di responsabilità ComplianceNet. Manlio può essere contattato al seguente indirizzo email: manlio.).Non commerciale 2.. CMA Consulting. dei suggerimenti. puntualizzazione dei contenuti del testo (questo corso ha rischiato. per colpa sua. delle check list e degli strumenti indicati in questa pubblicazione possano garantire di per sé la conformità alle norme. Al corso è inoltre collegato il sito Arcobaleni1966 dal nome (fittizio) della società che è protagonista dei nostri casi di studio ed esercitazioni. Cristina può essere contattata al seguente indirizzo email: cristina.

it 7 http://www. anche direttivi. OASI) con incarichi. Workflow Management e Business Process Reengineering. Privacy.cmaconsulting. consulenza e formazione in ambito Compliance.marcelli@cmaconsulting. Euros Consulting. Se volete contattarmi la mia email è p. Internet.it/ 6 Creative Commons Attribuzione . Qualità e Certificazione ISO9000 e ISO27001.Non commerciale 2.5 Italia License . Qualità e Sicurezza. in ambito Information Technology. Privacy e Protezione dei dati personali. Ho lavorato per oltre vent’anni presso primarie aziende informatiche e di consulenza (IPACRI. Attualmente sono partner di CMa Consulting7 società specializzata in servizi. Introduzione Panfilo Marcelli si presenta Mi sono laureato in Ingegneria all’Università de l’Aquila. Intranet e gestione di siti con sistemi CMS.

Il diritto alla protezione dei dati personali Unità Didattica 1.Le principali norme sulla privacy Risposte alle domande di verifica della lezione 1 7 Creative Commons Attribuzione .3 .1 . Lezione 1 – Introduzione alla privacy Lezione 1 – Introduzione alla privacy Caso di studio a – Arcobaleni196 e la privacy Unità Didattica 1.Non commerciale 2.5 Italia License .Il Garante per la protezione dei dati personali Unità Didattica 1.2 .

Percorsi formativi • Corso per incaricati al trattamento dei dati personali. Lezione 1 – Introduzione alla privacy Obiettivi di apprendimento • Cos’è la Privacy? • Quale sono le norme più importanti in ambito privacy? • Cos’è il Garante per la protezione dei dati personali e che poteri ha? A chi si rivolge questa lezione? A tutti gli incaricati.5 Italia License . Concetti chiave: • Codice in materia di protezione dei dati personali.Non commerciale 2. • Ufficio del Garante. • Allegati al Codice. • Corso per Direzione. • Corso per Responsabile dei trattamenti di marketing. • Corso per Responsabile dei trattamenti. 8 Creative Commons Attribuzione . • Corso per Responsabile dei trattamenti con video sorveglianza.

5 Italia License .Non commerciale 2. Lezione 1 – Caso di studio A Lezione 1 – Caso di studio A – Arcobaleni196 e la privacy 9 Creative Commons Attribuzione .

” “Le telecamere non sono vietate di per sé” gli ho spiegato “ma la legge sulla privacy impone di seguire delle regole. Simuleremo di trovarci presso Arcobaleni196 srl8 una società che produce e commercializza vernici speciali per la carrozzeria di veicoli. caro ingegnere. Inoltre il mese scorso. “Come mai?” ho chiesto cercando di rimanere imperturbabile.it/ 9 http://www. Il mio assistente. nonostante il divieto di fumo in tutti gli uffici. sempre regole! In Italia è diventato impossibile condurre un’azienda” ha sbuffato Arcobaleni “l’ho chiamata proprio per questo. Ma mi dica subito: cosa c’entra la legge sulla privacy con le telecamere? Posso installarle sì o no?” 8 http://www. “Ieri è stato rubato un altro computer portatile! È il terzo dall’inizio dell’anno adesso basta! Voglio sapere chi è che ruba in azienda.5 Italia License .compliancenet. dottor Marroni. Sono stato convocato dal cavalier Pinco Arcobaleni. “Ho bisogno di una consulenza sulla privacy” mi ha detto telefonicamente. fondatore e Direttore Generale dell’azienda.Non commerciale 2.it/category/compliancenet/privacy 10 Creative Commons Attribuzione .arcobaleni196. Primo incontro con il cavalier Arcobaleni “Voglio mettere telecamere ovunque!” ha esordito il cavalier Arcobaleni non appena mi sono accomodato nel suo ufficio.” “Regole. E così vado a trovarlo. Lezione 1 – Caso di studio A Le lezioni di questo corso sono basate su una serie di casi di studio concreti. qualcuno ha acceso una sigaretta in uno dei bagni facendo suonare l’allarme antincendio. ha letto su Internet i suoi articoli9 sulla privacy e ha consigliato di avere un suo parere prima di installare le telecamere.

sui trattamenti di dati personali. “Le dico subito che in azienda non trattiamo dati personali!” mi ha interrotto con un sorriso trionfante Arcobaleni. “Legga qua” mi dice il cavaliere allungandomi un foglio.5 Italia License . “Come fa ad esserne così sicuro?” gli ho chiesto non poco sorpreso.” 11 Creative Commons Attribuzione . Firmato Pinco Arcobaleni Direttore Generale Sono sempre più preoccupato. Comunicazione del Direttore Generale del 15 settembre 2008 Si comunica a tutto il personale che a far data da oggi è vietato il trattamento di qualsiasi dato personale in azienda. Mi ha detto che nel giugno 2008 è stato abrogato l’obbligo delle misure di sicurezza per le aziende che non trattano dati sensibili. Lezione 1 – Caso di studio A “In Italia esistono norme precise. “Perché ha scritto questa comunicazione?” gli chiedo. Dal primo gennaio 2004 l’intera materia è stata riordinata e precisata dal Codice in materia di protezione dei dati personali” ho spiegato.Non commerciale 2. ed in alcuni casi anche severe. Le riprese effettuate con sistemi di videosorveglianza sono considerati trattamenti di dati personali. “Me lo ha consigliato la dottoressa Rossetti.

Ma mi dica subito: posso installare o no le telecamere?” “Solo se segue le indicazioni del Garante. poi tradotto in un provvedimento11 del Garante nel dicembre 2008. senza indicazione della diagnosi”.jsp?ID=1571218 12 Creative Commons Attribuzione .camera. E poi decida lei se andare avanti con il mio aiuto o continuare a fare tutto da solo. Lezione 1 – Caso di studio A “Nessuno ha abrogato l’obbligo di adottare le misure di sicurezza” chiarisco “il Decreto Legge 25 giugno 2008 n.” “Ingegnere. Ma il mio consiglio è di fare un po’ di ordine sia sulle norme sia sugli adempimenti privacy. Intendevo dire che non trattiamo dati sensibili! Sa con tutte queste definizioni … Adesso però dovrò rifare la comunicazione a tutto il personale … Non è che mi darebbe una mano? Avrei bisogno che qualcuno mi chiarisse un po’ meglio le idee sulla privacy. “Mi scusi mi sono espresso male. Io la ringrazio per essere venuto a trovarmi ma vorrei essere onesto con lei: ho altre priorità!” “Tocca a lei decidere.” “Mi può riepilogare quali sono queste indicazioni?” “Certamente cavaliere. si rischia il carcere?” “Le sanzioni penali possono comportare anche pene detentive oltre che pecuniarie.it/garante/doc. Le ricordo però che le sanzioni previste per il mancato rispetto delle norme sulla privacy sono sia penali sia amministrative. sarò franco: fino ad oggi non ci siamo curati di questi aspetti e non abbiamo mai avuto problemi … Non siamo una grande azienda che può spendere migliaia di euro su questi temi.htm 11 http://www.” 10 http://www.it/parlam/leggi/decreti/08112d. Le posso fare una proposta? Convochi i suoi principali collaboratori ed in un paio d’ore le farò un quadro completo della normativa e di quello che serve per fare il censimento dei trattamenti. cavaliere.” “Ohibò.garanteprivacy. Temo che ci siano numerosi obblighi che avete sottovalutato. ha semplicemente abrogato l’obbligo della redazione del Documento Programmatico sulla sicurezza per tutte le aziende che non trattano dati sensibili o che trattano solo dati sensibili inerenti salute e malattia dei propri dipendenti.11210 del giugno 2008.Non commerciale 2. Le sanzioni amministrative possono essere pecuniarie o a fronte di gravi irregolarità arrivare anche al blocco del trattamento dei dati.” “Che significa?” “Significa che Arcobaleni196 non potrebbe più operare e sarebbe costretta a chiudere… Cavaliere si fidi di me! Facciamo così: mi accordi due ore con i suoi collaboratori più stretti.5 Italia License .

000.it/guridb/dispatcher?service=1&datagu=2008-12- 31&task=testoArticolo&progressivoarticolo=0&versionearticolo=1&subarticolo=1&numeroarticolo=44&redaz=008G0 232&tmstp=1232193077977 13 Creative Commons Attribuzione .00 Violazione relativa ai dati personali idonei a rilevare lo stato di salute Da € 500. trattamenti che presentano rischi specifici) Reclusione da 1 a 3 anni Omessa o inidonea informativa (dati sensibili.L. Lezione 1 – Caso di studio A Sanzioni per gli adempimenti privacy prima degli inasprimenti introdotti con il D. 207 del 30 dicembre 2008 (articolo 4412) Illeciti penali Sanzioni amministrative Trattamento illecito di dati Reclusione da 6 a 24 mesi Omessa o inidonea informativa Da € 3.00 del divieto di Effettuare indagini su opinioni politiche.00 a € 30.gazzettaufficiale.L. 207 ha inasprito le sanzioni previste dal “Codice in materia di protezione dei dati personali”. oltre ad essere punito con l’arresto sino a due anni.00 al Garante Reclusione da 6 mesi a 3 anni Arresto fino a 2 anni Sanzione Cessione illecita di dati Da € 5.00 Violazione da parte dei datori di lavoro Omessa o incompleta notificazione Da € 10.00 a € 60.00 a € 18. vengono inoltre previsti casi di minore e maggiore gravità.5 Italia License .300/1970 Arresto da 15 giorni a 1 anno L’articolo 44 del D. giudiziari. Il trattamento di dati personali in violazione delle misure di sicurezza.4 Legge n.000.000.” 12 http://www. Controllo attraverso Omessa informazione o esibizione al luso di impianti audiovisivi.000.000 euro.00 Omessa adozione delle misure minime pecuniaria da € 10.2008 n. viene punito con una sanzione amministrativa da 20. o altre Garante dei documenti richiesti Da € 4. trattamenti che Falsità nelle dichiarazioni e notificazioni presentano rischi specifici) Da € 5. Faccio venire immediatamente i miei principali collaboratori: Carmela Rossetti della qualità e controlli.00 a € di sicurezza 50. giudiziari. rispettivamente con diminuzione ed aumento delle sanzioni.00 a € 30.000 a 120. n. “Okay ingegnere.000. Ercole Marroni della produzione.000.000.000.000.000.00 a € 3.00 a € 24.00 apparecchiature art. Giuseppina Nerucci delle risorse umane.12.000. Mariuccia Nerini della Contabilità.00 Trattamento illecito di dati (dati sensibili.000.Non commerciale 2.000. 30.

Il Garante per la protezione dei dati personali 3. Vi farò una breve introduzione alla privacy affrontando tre argomenti: 1. Il diritto alla protezione dei dati personali 2.5 Italia License . Le principali norme sulla privacy” Inizia il corso… 14 Creative Commons Attribuzione .) “Bene. Lezione 1 – Caso di studio A Introduzione alla privacy (Alcuni minuti dopo: presenti tutti i collaboratori.Non commerciale 2.

Non commerciale 2.1.1 15 Creative Commons Attribuzione .1.1. Lezione 1 – Unità didattica 1.1 Lezione 1 – Unità didattica 1.1 – Il diritto alla protezione dei dati personali Modulo 1.2 – Sintesi delle norme sulla privacy Modulo 1.3 – Quadro normativo Domande di verifica 1.5 Italia License .1 – Mini glossario Modulo 1.

in particolare. se quest’ultimo è obbligato o meno a rilasciare i dati. utilizzo.1. Prescrive modifiche necessarie od opportune per far adeguare i trattamenti alla disciplina vigente.5 Italia License . estrazione. Presenta al Parlamento e al Governo una relazione annuale sullo stato di attuazione della normativa che regola la materia. lo stato di salute e la vita sessuale. Il Garante: un’Autorità indipendente composta da quattro membri eletti dal Parlamento. l’ente o l’associazione cui si riferiscono i dati. l’appartenenza a partiti o sindacati. quali sono gli scopi e le modalità del trattamento. Segnala al Parlamento e al Governo l’opportunità di interventi normativi per tutelare gli interessati. Titolare del trattamento: la pubblica amministrazione. la persona giuridica. ad un ente o associazione. modificazione. le opinioni politiche. svolge accertamenti anche su richiesta del cittadino. Controlla se il trattamento di dati personali da parte di privati e pubbliche amministrazioni è lecito e corretto. compreso un numero di identificazione personale.Non commerciale 2. selezione. Lezione 1 – Unità didattica 1. blocco. cancellazione e distruzione). anche indirettamente. la persona giuridica o fisica cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento dei dati personali. Informativa: contiene le informazioni che il titolare del trattamento deve fornire all’interessato per chiarire. Dato sensibile: qualunque dato che può rivelare l’origine razziale. Esamina reclami. esegue ispezioni e verifiche. se vi sono dati sensibili. Interessato: la persona fisica.un determinato trattamento di dati che lo riguardano. interconnessione. elaborazione. Trattamento dei dati personali: qualunque operazione o complesso di operazioni. delle libertà fondamentali e della dignità delle persone rispetto al trattamento dei dati personali. conservazione. sul quale è stato preventivamente informato da chi utilizza i dati. l’appartenenza etnica. 13 http://www. diffusione.1 Modulo 1. come circolano i dati e in che modo esercitare i diritti riconosciuti dalla legge. Esprime pareri su regolamenti e atti amministrativi di alcune amministrazioni pubbliche. comunicazione. Consenso: la libera manifestazione della volontà con la quale l’interessato accetta – in modo espresso e. È stata istituita per la tutela dei diritti. identificati o identificabili. segnalazioni e ricorsi. Dato personale: qualunque informazione relativa ad un individuo.1 – Mini glossario Tratto dalla brochure del Garante per la protezione dei dati personali: “La tutela dei dati personali: il primo Garante sei tu”13. effettuate anche senza mezzi elettronici o automatizzati (raccolta.garanteprivacy. per iscritto . registrazione. raffronto. mediante riferimento a qualsiasi altra informazione. le convinzioni religiose o di altra natura. ad una persona giuridica. organizzazione.it/garante/document?ID=1382763 16 Creative Commons Attribuzione .

l’identità personale. Tale protezione consiste nella garanzia che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali. • I dati personali sono una proiezione della persona. Il primo articolo del Codice chiarisce cosa si intende per privacy nell’ordinamento italiano. • Conoscere i nostri diritti e il modo per farli valere è semplice. nonché della dignità dell'interessato. Nel 2003 tale legge è stata abrogata e sostituita dal decreto legislativo 196/03 noto come “Codice in materia di protezione dei dati personali” 14 entrato in vigore il primo gennaio 2004.Non commerciale 2. Ognuno di noi ha il diritto di “sapere”. di farle rettificare se erronee. La legge tutela la riservatezza. • Il trattamento dei dati che ci riguardano deve rispettare le garanzie previste dalla legge. Va chiarito che lo spirito della legge non è impedire il trattamento dei dati personali ma evitare che questo avvenga contro la volontà dell'avente diritto.1. definisce la modalità di raccolta dei dati. ovvero secondo modalità “pregiudizievoli”. gli obblighi di chi raccoglie.5 Italia License . in pratica.it/garante/document?ID=1382763 17 Creative Commons Attribuzione . 14 http://www.garanteprivacy. un organo collegiale composto da quattro membri eletto dal Parlamento che ha il compito di vigilare sul rispetto delle norme sulla privacy.it/garante/doc. all'identità personale ed al diritto alla protezione dei dati personali. Nel 1997 è stato costituito il “Garante per la protezione dei dati personali”. Il diritto di conoscere se un soggetto detiene informazioni. Lezione 1 – Unità didattica 1. 675 “Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali”. Il Garante ha sintetizzato15 i contenuti delle norme sulla privacy come segue.jsp?ID=1311248 15 Brochure “La tutela dei dati personali: il primo Garante sei tu” http://www.garanteprivacy.1 Modulo 1. la dignità e gli altri nostri diritti e libertà fondamentali. di apprenderne il contenuto. recita infatti tale articolo: “chiunque ha diritto alla protezione dei dati personali che lo riguardano”. incomplete o non aggiornate. detiene o tratta dati personali e le responsabilità e sanzioni in caso di danni. con particolare riferimento alla riservatezza.2 – Sintesi delle norme sulla privacy Dal 1996 in Italia vige il “diritto alla protezione dei dati personali” a cui comunemente ci si riferisce come “Legge sulla Privacy”: infatti il 31 dicembre 1996 è entrata in vigore la legge n. • La prima garanzia è la trasparenza. Il Codice. Alle dipendenze del Garante è posto un Ufficio con un organico di circa 100 unità.

gli allegati al codice ed i provvedimenti hanno valore di legge e sono dunque obbligatori le linee guida ed i modelli sono opzionali.Non commerciale 2. che il Garante ha emanato. Periodicamente il Garante pubblica anche linee guida e modelli di riferimento per il rispetto degli adempimenti.jsp?ID=1311248 17 http://www.1 Modulo 1.garanteprivacy.1. con valore di legge.garanteprivacy. Le misure pratiche per adempiere ai principi sono contenute negli allegati. Mentre il Codice. Infine occorre tener presente i diversi provvedimenti17.5 Italia License .jsp?ID=1592067 18 Creative Commons Attribuzione .3 – Quadro normativo Il “Codice in materia di protezione dei dati personali” 16 è il testo principale di riferimento per la privacy.it/garante/doc.garanteprivacy.jsp?folderpath=Normativa%2FItaliana%2FIl+Codice+in+materia+di+protezione+dei+dati+personali 19 http://www.garanteprivacy.it/garante/doc. Lezione 1 – Unità didattica 1. Il 24 febbraio 2009 il Garante per la protezione dei dati personali ha predisposto sul proprio sito una nuova area “Indice per materia”19che raccoglie i principali provvedimenti dell'Autorità suddivisi per materia e affianca quella cronologica.jsp?folderpath=Provvedimenti 18 http://www.it/garante/navig/jsp/index. tra questi uno dei più importanti è l’allegato B sulle misure minime di sicurezza. Il Codice contiene le definizioni ed i principi di riferimento. Tutti i testi di legge sono disponibili sul sito del Garante18.it/garante/navig/jsp/index. Si tratta di una sorta di “testo unico” che a far data dal primo gennaio 2004 sostituisce. Codice Obblighi normativi Allegati Provvedimenti Best Linee guida practices Modelli 16 http://www. integra ed accorpa tutte le precedenti normative in materia (in particolare sostituisce la legge 675/96).

La legge sulla privacy Vero.675 del 1996.675 sulla sostituisce la privacy.1 Domande di verifica 1. Non è stata abrogata. il Codice in Falso. materia di protezione privacy del 1996? integrata dal Codice in dei dati personali. Le norme sulla riguarda solo le possono appellarsi al fanno riferimento ad privacy si applicano persone fisiche e non Garante per la altre norme. precedente legge n. Dal 2001 è in Vero. personali. Quando è stata Non è stata abrogata. gennaio 2004 e nel 2003. Lezione 1 – Unità didattica 1. Le aziende però Vero. sia a persone fisiche le aziende. 19 Creative Commons Attribuzione . protezione dei dati che ad aziende.5 Italia License . Il primo gennaio protezione dei dati materia di protezione vigore la legge n.1 Domanda Prima risposta Seconda risposta Terza risposta Il Codice in materia di Falso. Nel 2004 dal Codice in abrogata la legge sulla Dal 2003 è stata È ancora in vigore. materia di protezione dei dati personali.675 2001 è entrato il personali è in vigore dei dati personali è in sulla privacy poi vigore il nuovo Codice dal primo gennaio vigore dal primo abrogata dal Codice che ha abrogato la 2001.Non commerciale 2. Le aziende Falso. legge n.

1 Pagina lasciata intenzionalmente bianca 20 Creative Commons Attribuzione .5 Italia License .Non commerciale 2. Lezione 1 – Unità didattica 1.

2 – Il Garante per la protezione dei dati personali Modulo 1.3 – Nucleo speciale funzione pubblica e privacy della Guardia di Finanza Domande di verifica 1.1 – L’Ufficio del Garante Modulo 1.Non commerciale 2.2.2.2.2 Lezione 1 – Unità didattica 1.2 21 Creative Commons Attribuzione . Lezione 1 – Unità didattica 1.5 Italia License .2 – Ispezioni del Garante Modulo 1.

garanteprivacy. istituita dalla legge sulla privacy del 31 dicembre 1996 per assicurare la tutela dei diritti e delle libertà fondamentali ed il rispetto della dignità nel trattamento dei dati personali.jsp?ID=1311248 21 Alla data del 17 gennaio 2009 22 http://www.garanteprivacy.Non commerciale 2.jsp?ID=1596831 22 Creative Commons Attribuzione .it/garante/doc. L’attuale collegio21 si è insediato il 18 aprile 2005 ed è così composto: Presidente Francesco Pizzetti Vicepresidente Giuseppe Chiaravalloti Componenti Mauro Paissan Giuseppe Fortunato Fonte immagini22 zzzz Il Segretario generale dell’Ufficio del Garante è Filippo Patroni Griffi23.2 Modulo 1.it/garante/doc. i quali rimangono in carica per un mandato di quattro anni rinnovabile una volta sola.5 Italia License .jsp?ID=1116178 23 http://www. composto da quattro membri eletti dal Parlamento.1 – L’ufficio del Garante Il Garante per la protezione dei dati personali è un’autorità indipendente. 20 http://www.it/garante/doc. Il Codice del 200320 ha confermato ruoli e compiti di tale authority.garanteprivacy. Si tratta di un organo collegiale. Lezione 1 – Unità didattica 1.2.

org/wiki/Stefano_Rodot%C3%A0 25 http://commons.it Immagine tratta da Google Maps30 24 http://it.it/ 23 Creative Commons Attribuzione .wikimedia. dei ricorsi e dei reclami degli interessati. in tutto od in parte. nell’ambito delle categorie interessate.00. e-mail: urp@garanteprivacy.wikipedia.google.Non commerciale 2.it/garante/doc. in particolare. • divieto. 123.13. Fonte immagine29 I principali compiti del Garante sono: • controllo della conformità dei trattamenti di dati personali a leggi e regolamenti e la segnalazione ai titolari o ai responsabili dei trattamenti delle modifiche da adottare per conseguire tale conformità.garanteprivacy.jsp?ID=1581546 29 http://www. ovvero il blocco del trattamento di dati personali quando per la loro natura. Lunedì . • esame delle segnalazioni.Venerdì ore 10.jpg?uselang=it 26 http://www. Fonte immagine25 Il primo Segretario generale dell’Ufficio del Garante è stato Giovanni Buttarelli26 che il 23 dicembre 2008 è stato nominato Garante europeo aggiunto dei dati personali27 (EDPS) ed ha lasciato l’Autorità28. vi sia il rischio concreto di un rilevante pregiudizio per l’interessato. Piazza di Monte Citorio.jsp?ID=1127990 27 http://europa. le autorizzazioni generali per il trattamento dei dati sensibili. oppure per le modalità o gli effetti di tale trattamento.garanteprivacy. Rodotà è stato “Garante” della privacy dal 2000 al 2004.5 Italia License . • adozione dei provvedimenti previsti dalla normativa in materia tra cui. della sottoscrizione dei codici di deontologia e di buona condotta.eu/institutions/others/edps/index_it.jsp?ID=1127990 30 http://maps.2 Il primo Presidente dell’Ufficio del Garante è stato il professor Stefano Rodotà24 considerato il “padre” fondatore della legge. • promozione. Ufficio per le relazioni con il pubblico.00 .it/garante/doc. Lezione 1 – Unità didattica 1. Per rivolgersi al Garante ci si può recare presso l’Autorità.it/garante/doc.htm 28 http://www.org/wiki/Image:Stefano_Rodot%C3%A0_Trento_2007.garanteprivacy.

specifici controlli anche riguardo all'adozione delle misure di sicurezza. quelli che si renderanno necessari in ordine a segnalazioni e reclami presentati.2 Modulo 1. A questi accertamenti si affiancheranno.2.Non commerciale 2. enti previdenziali 3.2 – Ispezioni del Garante Ogni anno. 31 http://www. sistema informativo del fisco 2. Lezione 1 – Unità didattica 1. il Garante rende noto il piano ispettivo previsto per i successivi mesi. Nella newsletter n. Il piano prevede sia nel settore pubblico che in quello privato.jsp?folderpath=Newsletter 32 http://www.Nucleo Privacy.it/garante/doc.garanteprivacy. 326 del 27 luglio 200932 il Garante ha comunicato il piano ispettivo per il secondo semestre 2009.jsp?ID=1634378 24 Creative Commons Attribuzione .garanteprivacy.5 Italia License . al consenso da richiedere nei casi previsti dalla legge. Oltre 200 gli accertamenti ispettivi previsti che verranno effettuati anche in collaborazione con le Unità Speciali della Guardia di Finanza . commercializzazione di banche dati per finalità di marketing.it/garante/navig/jsp/index. Tre i settori interessati dall'attività di accertamento del Garante per la privacy: 1. attraverso il proprio sito web e la sua newsletter31. all'informativa da fornire ai cittadini. come di consueto.

ispezioni. Fonte immagine34 33 http://www.it/reparti/reparto. • la contestazione delle sanzioni amministrative rilevate nell'ambito delle attività delegate. • lo sviluppo delle attività delegate o sub-delegate per l'accertamento delle violazioni di natura penale o amministrativa. Lezione 1 – Unità didattica 1. verifiche e alle altre rilevazioni nei luoghi ove si svolge il trattamento. • la segnalazione all'Autorità di tutte le situazioni rilevanti ai fini dell'applicazione del Codice. • l'esecuzione di indagini conoscitive sullo stato di attuazione della citata Legge in settori specifici.gdf.5 Italia License .gdf. • la partecipazione di proprio personale agli accessi alle banche dati.Non commerciale 2.2 Modulo 1.html 25 Creative Commons Attribuzione .asp?idreparto=RM083&idcomune=&provincia=&denominazione=&catastale= 34 http://www.2. di cui venga a conoscenza nel corso dell'esecuzione delle ordinarie attività di servizio.it/organizzazione/dove_siamo/comando_dei_reparti_speciali/info-407534563. • l'assistenza nei rapporti con le Autorità Giudiziarie.3 – Nucleo speciale funzione pubblica e privacy della Guardia di Finanza Per le attività ispettive il Garante si avvale di un reparto speciale della Guardia di Finanza noto “Nucleo Speciale Funzione Pubblica e Privacy33” che collabora all'attività ispettiva attraverso: • il reperimento di dati ed informazioni sui soggetti da controllare.

I cittadini. Lezione 1 – Unità didattica 1. magistratura. possono Solo però dopo aver Sul sito del Garante Occorre fare ricorso appellarsi direttamente fatto prima ricorso sono disponibili anche alla magistratura per al garante per far attraverso la suggerimenti e modelli far valere i propri valere i propri diritti. Vero. 26 Creative Commons Attribuzione . imprese.2 Domanda Prima risposta Seconda risposta Terza risposta L’Autorità Garante per Vero. associazioni di categoria. componenti I membri dell’autorità I membri dell’autorità I membri dell’autorità dell’Autorità Garante sono nominati dai sono nominati dal sono nominati dal per la privacy è di tipo rappresentanti delle Governo. l’intervento della imporre le proprie semplicemente magistratura o delle decisioni fino al “consigliare” i forze di polizia per blocco dei trattamenti. Tra gli incarichi del Vero.Non commerciale 2. “politica”. privacy. per esercitare tale diritti in ambito diritto. e le Vero.5 Italia License . Falso. La nomina dei Falso. provvedimenti. Vero. comportamenti imporre i propri corretti. Falso. cittadini o imprese. degli adempimenti di delle ispezioni ricorsi da parte di legge. Parlamento. Garante vi sono le Ogni anno il Garante Il Garante può fare Solo le forse di polizia ispezioni nelle aziende presenta ispezioni solo in possono fare ispezioni per valutare il rispetto pubblicamente il piano seguito a denunce o nelle aziende. la protezione dei dati Il garante può solo Pur non avendo reali Il Garante può personali non ha reali effettuare una “moral poteri può richiedere infliggere sanzioni ed poteri ma può suasion”. previste. Falso. Falso. Vero.2 Domande di verifica 1. Vero.

3.2 – Allegati al Codice Modulo 1.3.1 – Codice in materia di protezione dei dati personali Modulo 1.3 27 Creative Commons Attribuzione .3 – Allegato B .3 Lezione 1 – Unità didattica 1.3.4 – Le “semplificazioni” del 2008 sulla sicurezza e la notificazione Modulo 1.3. Lezione 1 – Unità didattica 1.6 – Gli “inasprimenti” delle sanzioni del 30 dicembre 2008 Domande di verifica 1.Disciplinare tecnico in materia di misure minime di sicurezza Modulo 1.Non commerciale 2.3 – Le principali norme sulla privacy Modulo 1.3.3.5 Italia License .5 – I nuovi adempimenti per le funzioni di “amministratore di sistema” Modulo 1.

• la cancellazione. 3. • la modificazione. • il blocco.it/garante/doc. • la registrazione. norme relative alle forme di tutela. • il raffronto. 2. • l’estrazione. 35 http://www. • l’organizzazione. Trattamenti e dati Le disposizioni del Codice si applicano al trattamento di dati personali cioè a “qualunque operazione o complesso di operazioni. • l’interconnessione. Il Codice è diviso in tre parti: 1. disposizioni generali.garanteprivacy. • la selezione. nonché della dignità dell’interessato. Lezione 1 – Unità didattica 1. 675/96 sulla privacy e successive modifiche.3.Non commerciale 2. • la conservazione. effettuati anche senza l’ausilio di strumenti elettronici. • la consultazione. con particolare riferimento alla riservatezza.jsp?ID=1311248 28 Creative Commons Attribuzione . • la diffusione. • l’utilizzo. • la comunicazione. all’identità personale e al diritto alla protezione dei dati personali”.3 Modulo 1.5 Italia License . L’articolo 2 recita che il Codice “garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali. • l’elaborazione. disposizioni relative a specifici settori.1 – Codice in materia di protezione dei dati personali Il primo gennaio 2004 è entrato in vigore il “Codice in materia di protezione dei dati personali35” che ha abrogato e sostituito la precedente legge n. Diritti fondamentali L’articolo 1 spiega chiaramente lo spirito della norma: “chiunque ha diritto alla protezione dei dati personali che lo riguardano”. concernenti: • la raccolta. alle sanzioni ed all’ufficio del Garante per la protezione dei dati personali.

Occorre scegliere persone fisiche od organismi che per esperienza. si potrà ovviare ad una formale designazione (ad esempio. mediante riferimento a qualsiasi altra informazione. capacità ed affidabilità. la comunicazione o la diffusione). etc. la società) che tratta i dati personali (con la raccolta. in particolare: • in applicazione del principio di necessità (articolo 3). in modo da ridurre al minimo l'utilizzo di informazioni relative a clienti identificabili. per i servizi di postalizzazione. filosofico. per svariate forme di outsourcing che comportino un trattamento di dati personali (ad es. in particolare di profilazione. nell’organigramma. Così. in pratica sono i dipendenti o collaboratori dell'azienda. nel contratto. In pratica è sufficiente "assegnare un dipendente ad una unità organizzativa. I dati personali si dividono in: • dati identificativi. forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento. le convinzioni religiose. 29 Creative Commons Attribuzione . ivi compreso il profilo relativo alla sicurezza (art. in un’azienda nella quale ad una unità organizzativa sono stati assegnati un determinato numero di dipendenti. ivi compreso un numero di identificazione personale”.. La nomina del responsabile è utile o in presenza di imprese con organizzazione articolata (ad es. persona giuridica. nei mansionari. possono essere designati responsabili del trattamento i dirigenti di funzioni aziendali. la registrazione. sindacati.) e risulti inoltre che tali dipendenti sono stati assegnati stabilmente a tale unità". I soggetti che effettuano il trattamento Gli obblighi in materia di Privacy sono a carico del “titolare del trattamento” cioè di norma la persona fisica (si pensi all’imprenditore individuale) o giuridica (ad esempio. identificati o identificabili. mediante consegna di apposita comunicazione scritta). già in origine. Principi Il Codice fissa alcuni principi generali che devono esser seguiti nel trattamento di dati personali.ossia “dati personali idonei a rivelare l’origine razziale ed etnica. nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”. politico o sindacale. ecc. l’adesione a partiti. ossia “dati personali che permettono l’identificazione diretta dell'interessato”. 30 del Codice). Il "titolare del trattamento" è tenuto a designarli cioè a nominarli per iscritto incaricati specificando quali dati può trattare. quali quelle del personale o del settore marketing) o rispetto a soggetti esterni all’impresa. associazioni od organizzazioni a carattere religioso. per le società di recupero crediti. anche indirettamente. i sistemi informativi e i programmi informatici devono essere configurati. Lezione 1 – Unità didattica 1. • dati sensibili. le opinioni politiche.5 Italia License . possono essere perseguite con dati anonimi o solo indirettamente identificativi.Non commerciale 2. ente od associazione.). Gli “incaricati del trattamento” sono soggetti (solo persone fisiche) che effettuano materialmente le operazioni di trattamento dei dati personali e operano sotto la diretta autorità del titolare (o del responsabile) attenendosi a istruzioni scritte (art. per i centri di elaborazione dati contabili.3 • la distruzione di dati anche se non registrati in una banca di dati”. qualora si individuino gli ambiti di competenza (in ordine ai trattamenti di dati consentiti) di quella unità mediante una previsione scritta (ad es. Il “responsabile del trattamento” (ma possono essere più d’uno) è una figura che può essere designata a propria discrezione dal titolare del trattamento con un atto scritto nel quale vanno indicati i compiti affidati. Il trattamento di dati personali relativi a clienti non è lecito se le finalità del trattamento. 29 del Codice). filosofiche o di altro genere.. L’articolo 4 definisce i dati personali come “qualunque informazione relativa a persona fisica. a condizione che risultino per iscritto le categorie di dati cui può avere accesso e gli ambiti del trattamento.

Lezione 1 – Unità didattica 1.3

• nel rispetto del principio di proporzionalità nel trattamento (articolo 11, comma 1, lett. d),
tutti i dati personali e le varie modalità del loro trattamento devono essere pertinenti e non
eccedenti rispetto alle finalità perseguite;
• il trattamento dei dati è possibile solo se è fondato su uno dei presupposti di liceità che il
Codice prevede espressamente per gli organi pubblici da un lato (svolgimento di funzioni
istituzionali: articoli 18-22) e, dall’altro, per soggetti privati ed enti pubblici economici
(adempimento ad un obbligo di legge, provvedimento del Garante di c.d. “bilanciamento di
interessi” o consenso libero ed espresso: articoli 23-27);
• le finalità perseguite dal trattamento devono essere determinati, espliciti e legittimi (articolo
11, comma 1, lett. b); ciò comporta che il titolare possa perseguire solo finalità di sua
pertinenza.

Diritti degli interessati
La disciplina di protezione dei dati personali attribuisce a ciascun interessato il diritto di accedere ai
dati personali a sé riferiti e di esercitare gli altri diritti previsti dall'art. 7 del Codice.

Se l'interessato esercita il proprio diritto d'accesso ai dati che lo riguardano o uno degli altri diritti
che gli sono riconosciuti, il titolare del trattamento (o il responsabile) deve fornire riscontro (di
regola) entro quindici giorni dal ricevimento dell'istanza (art. 146 del Codice).

In caso di omesso o incompleto riscontro, i predetti diritti possono essere fatti valere dinanzi
all'autorità giudiziaria o con ricorso al Garante (art. 145 del Codice).

L’inversione dell’onere della prova
L’articolo 15 del Codice recita “chiunque cagiona danno ad altri per effetto del trattamento di dati
personali è tenuto al risarcimento ai sensi dell’art. 2050 del codice civile”, il quale a sua volta
dispone che “chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua
natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato
tutte le misure idonee a evitare il danno”.
Nella pratica, l’art. 2050 del Codice Civile obbliga, in caso di contenzioso, il titolare a dimostrare di
aver adottato tutte le misure idonee ad evitare il possibile danno.

Sanzioni
Il Codice prevede sia sanzioni di carattere amministrativo sia illeciti penali.
Le sanzioni di carattere amministrativo sono causate da:
• omessa o inidonea informativa all’interessato (articolo 161);
• illecita cessione di dati personali (articolo 162);
• omessa o incompleta notificazione (articolo 163);
• omessa informazione o esibizione al Garante (articolo 164).
Gli illeciti penali sono causati da:
• trattamento illecito di dati (articolo 167);
• falsità nelle dichiarazioni e notificazioni al Garante (articolo 168);
• omissione delle misure minime di sicurezza (articolo 169);
• inosservanza di provvedimenti del Garante (articolo 170).

30

Creative Commons Attribuzione - Non commerciale 2.5 Italia License

Lezione 1 – Unità didattica 1.3

Modulo 1.3.2 – Allegati al Codice

Gli allegati sono:
• Allegato A.6. Codice di deontologia e di buona condotta per i trattamenti di dati personali
effettuati per svolgere investigazioni difensive36
• Allegato A.5. Codice di deontologia e di buona condotta per i sistemi informativi gestiti da
soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti37
• Allegato A.4. Codice di deontologia e di buona condotta per i trattamenti di dati personali
per scopi statistici e scientifici38
• Allegato A.1. Codice di deontologia - Trattamento dei dati personali nell'esercizio
dell'attività giornalistica39
• Allegato A.2. Codici di deontologia - Trattamento dei dati personali per scopi storici40
• Allegato A.3. Codice di deontologia - Trattamento dei dati personali a scopi statistici in
ambito Sistan41
• Allegato B. Disciplinare tecnico in materia di misure minime di sicurezza42
• Allegato C. Trattamenti non occasionali effettuati in ambito giudiziario o per fini di polizia43

36
http://www.garanteprivacy.it/garante/doc.jsp?ID=1565171
37
http://www.garanteprivacy.it/garante/doc.jsp?ID=1556693
38
http://www.garanteprivacy.it/garante/doc.jsp?ID=1556635
39
http://www.garanteprivacy.it/garante/doc.jsp?ID=1556386
40
http://www.garanteprivacy.it/garante/doc.jsp?ID=1556419
41
http://www.garanteprivacy.it/garante/doc.jsp?ID=1556573
42
http://www.garanteprivacy.it/garante/doc.jsp?ID=1557184
43
http://www.garanteprivacy.it/garante/doc.jsp?ID=1557209
31

Creative Commons Attribuzione - Non commerciale 2.5 Italia License

Lezione 1 – Unità didattica 1.3

Modulo 1.3.3 – Allegato B - Disciplinare
tecnico in materia di misure minime di
sicurezza
Il “Disciplinare tecnico in materia di misure minime di sicurezza” (allegato B44) specifica le
modalità tecniche da adottare a cura del titolare, del responsabile ove designato e dell'incaricato, in
caso di trattamenti di dati con strumenti elettronici o senza strumenti elettronici. Tali modalità
vanno “lette” a partire da quanto indicato negli articoli da 33 a 36 del Codice in materia di
protezione dei dati personali” 45 relative alla cosiddette “Misure minime di sicurezza” che
indicano che, “nel quadro dei più generali obblighi di sicurezza”, i titolari del trattamento sono
comunque tenuti ad adottare le misure minime di seguito indicate (suddivise tra misure da adottare
per i trattamenti effettuati con strumenti elettronici e misure da adottare per trattamenti effettuati
senza strumenti elettronici).

Trattamenti con strumenti elettronici (articolo 34 del Codice)

Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate,
nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:

a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai
singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad
accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità
dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati
idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Con le semplificazioni adottate nel dicembre 2008 è stato aggiunto all’articolo 34 il comma 1-bis di
seguito riportato.

Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come
unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri
dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi,
ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un

44
http://www.garanteprivacy.it/garante/doc.jsp?ID=1557184
45
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
32

Creative Commons Attribuzione - Non commerciale 2.5 Italia License

Lezione 1 – Unità didattica 1.3

aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di
autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico
di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare
soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. In relazione a tali
trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrative e
contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il
Garante, sentito il Ministro per la semplificazione normativa, individua con proprio
provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del
disciplinare tecnico di cui all'Allegato B) in ordine all'adozione delle misure minime di cui
al comma 1.

Trattamenti senza l'ausilio di strumenti elettronici (articolo 35 del Codice)

Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se
sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti
misure minime:
a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai
singoli incaricati o alle unità organizzative;
b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per
lo svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso
selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli
incaricati.

Allegato B
Il “Disciplinare tecnico in materia di misure minime di sicurezza” (allegato B46) specifica le
modalità con cui attuare le misure minime di sicurezza indicate nel Codice.

Sistema di autenticazione informatica
1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di
credenziali di autenticazione che consentano il superamento di una procedura di
autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.
2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato
associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un
dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente
associato a un codice identificativo o a una parola chiave, oppure in una caratteristica
biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola
chiave.
3. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per
l'autenticazione.
4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per
assicurare la segretezza della componente riservata della credenziale e la diligente custodia
dei dispositivi in possesso ed uso esclusivo dell'incaricato.
5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno
otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero
di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente
riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e,

46
http://www.garanteprivacy.it/garante/doc.jsp?ID=1557184
33

Creative Commons Attribuzione - Non commerciale 2.5 Italia License

Lezione 1 – Unità didattica 1.3

successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati
giudiziari la parola chiave è modificata almeno ogni tre mesi.
6. Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati,
neppure in tempi diversi.
7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo
quelle preventivamente autorizzate per soli scopi di gestione tecnica.
8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente
all'incaricato l'accesso ai dati personali.
9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo
strumento elettronico durante una sessione di trattamento.
10. Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante
uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee
e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il
titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata
assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per
esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle
copie delle credenziali è organizzata garantendo la relativa segretezza e individuando
preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono
informare tempestivamente l'incaricato dell'intervento effettuato.
11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di
autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione.

Sistema di autorizzazione
12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è
utilizzato un sistema di autorizzazione.
13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono
individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare
l'accesso ai soli dati necessari per effettuare le operazioni di trattamento.
14. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle
condizioni per la conservazione dei profili di autorizzazione.

Altre misure di sicurezza
15. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione
dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla
manutenzione degli strumenti elettronici, la lista degli incaricati può essere redatta anche per
classi omogenee di incarico e dei relativi profili di autorizzazione.
16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui
all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici
da aggiornare con cadenza almeno semestrale.
17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità
di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di
trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale.
18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con
frequenza almeno settimanale.

34

Creative Commons Attribuzione - Non commerciale 2.5 Italia License

19. per renderli edotti dei rischi che incombono sui dati. registri o banche di 47 Con le semplificazioni adottate nel dicembre 2008 per i titolari che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto.la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati.1. 615-ter del codice penale.7. 19. all'esterno della struttura del titolare. Lezione 1 – Unità didattica 1. 24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi.per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24. 22. Entro il 31 marzo di ogni anno. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili. in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni. l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato. senza indicazione della relativa diagnosi. rilevanti rispetto al trattamento di dati personali. La formazione è programmata già al momento dell'ingresso in servizio.la previsione di interventi formativi degli incaricati del trattamento.2.6. 19. nonchè in occasione di cambiamenti di mansioni.la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23. non autorizzati al trattamento degli stessi dati. il titolare di un trattamento di dati sensibili o di dati giudiziari47 redige anche attraverso il responsabile. un documento programmatico sulla sicurezza contenente idonee informazioni riguardo: 19.4. o di introduzione di nuovi significativi strumenti. delle misure disponibili per prevenire eventi dannosi.5 Italia License .3 Documento programmatico sulla sicurezza 19. 21. mediante l'utilizzo di idonei strumenti elettronici. rilevanti ai fini della loro custodia e accessibilità.Non commerciale 2. 19. nonchè la protezione delle aree e dei locali. Ulteriori misure in caso di trattamento di dati sensibili o giudiziari 20. 19. 19. di cui all'art.la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati. 23.l'elenco dei trattamenti di dati personali.5.l'analisi dei rischi che incombono sui dati. ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale. Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti. ovvero possono essere riutilizzati da altri incaricati. delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare.8. se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili. dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività. la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di autocertificazione 35 Creative Commons Attribuzione . Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici. 19. se designato.le misure da adottare per garantire l'integrità e la disponibilità dei dati. in conformità al codice.3. I dati sensibili o giudiziari sono protetti contro l'accesso abusivo.

Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza. Le persone ammesse. del responsabile. i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione. a qualunque titolo. 28. 26. degli atti e dei documenti contenenti dati personali. in caso di trattamento con strumenti diversi da quelli elettronici: 27. per provvedere alla esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia. del codice.Non commerciale 2. Misure di tutela e garanzia 25. I dati relativi all'identità genetica sono trattati esclusivamente all'interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi. le persone che vi accedono sono preventivamente autorizzate. anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. dopo l'orario di chiusura. L'accesso agli archivi contenenti dati sensibili o giudiziari è controllato. e dell'incaricato. Lezione 1 – Unità didattica 1. sono identificate e registrate. 36 Creative Commons Attribuzione .3 dati con le modalità di cui all'articolo 22. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura.5 Italia License . la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento. il trasporto dei dati all'esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti. comma 6. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti. se dovuta. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati. il trasferimento dei dati in formato elettronico è cifrato. Il titolare riferisce. Trattamenti senza l'ausilio di strumenti elettronici Modalità tecniche da adottare a cura del titolare. 29. nella relazione accompagnatoria del bilancio d'esercizio. e sono restituiti al termine delle operazioni affidate. dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza. ove designato.

interessano: • amministrazioni pubbliche e società private che utilizzano dati personali non sensibili (nome. Insieme a quello sulle misure minime di sicurezza.jsp?ID=1573203 49 http://www. Con il provvedimento.it/garante/doc. alcune indicazioni per la redazione di un documento programmatico per la sicurezza semplificato. indirizzo. Procedure semplificate sono state indicate anche per chi tratta dati senza l'impiego di sistemi informatici. In base al provvedimento del Garante. liberi professionisti o artigiani che trattano dati solo per fini amministrativi e contabili. Obiettivo dell'Autorità è quello di mantenere un adeguato livello per le misure minime di sicurezza venendo però incontro alle esigenze prospettate da imprese. • piccole e medie imprese.jsp?ID=1571218 37 Creative Commons Attribuzione .Non commerciale 2. liberi professioni.3 Modulo 1.garanteprivacy. l'invio automatico delle mail ad un altro recapito accessibile). ossia le dichiarazioni da fare 48 http://www. soggetti pubblici e privati che trattano dati solo a fini amministrativi e contabili. volte a snellire le procedure. adottate sentito il Ministro per la semplificazione normativa. il Garante ha adottato anche un provvedimento che semplifica il modello utilizzato per effettuare le notificazioni. le categorie interessate: • possono impartire agli incaricati le istruzioni in materia di misure minime anche oralmente. non si opera più all'interno dell'organizzazione). Lezione 1 – Unità didattica 1. • possono utilizzare per l'accesso ai sistemi informatici un qualsiasi sistema di autenticazione basato su un username e una password. • devono aggiornare i programmi di sicurezza (antivirus) almeno una volta l'anno. codice fiscale. artigiani. cognome. soprattutto di piccole dimensioni.3.4 – Le “semplificazioni” del 2008 sulla sicurezza e la notificazione Il 9 dicembre 2008 il Garante per la protezione dei dati personali ha reso noto48 un provvedimento49 sulla semplificazione di alcuni adempimenti in materia di protezione dei dati personali.5 Italia License . • in caso di assenze prolungate o di impedimenti del dipendente possono mettere in atto procedure o modalità che consentano comunque l'operatività e la sicurezza del sistema ( ad es. e effettuare backup dei dati almeno una volta al mese. lo username deve essere disattivato quando viene meno il diritto di accesso ai dati (es.garanteprivacy. graduare le cautele a seconda della delicatezza dei trattamenti e a contenere i costi. inoltre. Le nuove garanzie. il Garante ha fornito a piccole e medie imprese. numero di telefono) o che trattano come unici dati sensibili dei dipendenti quelli relativi allo stato di salute o all'adesione a organizzazioni sindacali.it/garante/doc.

Lezione 1 – Unità didattica 1.3 all'Autorità quando si avvia un trattamento di particolari tipi di dati (genetici. 38 Creative Commons Attribuzione . ecc. mentre quello sulla notificazione sarà operativo entro 60 giorni dalla pubblicazione in Gazzetta e non comporterà l'obbligo di notificare di nuovo o modificare le notificazioni a carico di chi lo abbia già fatto. biometrici.Non commerciale 2.). procreazione assistita.5 Italia License . Il provvedimento sulle misure di sicurezza è immediatamente applicabile senza necessità di istanze o comunicazioni al Garante.

Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici 1.3 Modulo 1. il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell'art.it/guridb/dispatcher?service=1&datagu=2008-12- 24&task=dettaglio&numgu=300&redaz=08A09816&tmstp=1230659946972 51 http://www. i titolari pubblici e privati nella qualità di datori di lavoro sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni. nei casi in cui il titolare non è tenuto a redigerlo. Lezione 1 – Unità didattica 1. Designazioni individuali.jsp?ID=1580831 39 Creative Commons Attribuzione . L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell'esperienza. con l'elenco delle funzioni ad essi attribuite. 29. il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza. Elenco degli amministratori di sistema. devono essere riportati nel Documento Programmatico sulla Sicurezza. della capacità e dell'affidabilità del soggetto designato. La designazione quale amministratore di sistema deve essere in ogni caso individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato. Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori.3.garanteprivacy. secondo le caratteristiche dell'azienda o del servizio. Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell'art.it/garante/doc. Valutazione delle caratteristiche soggettive. Di conseguenza il Garante impone nuovi adempimenti ai titolari di trattamenti effettuati (anche parzialmente) con strumenti elettronici. 2.5 Italia License . in relazione ai diversi 50 http://www. oppure. Gli estremi identificativi delle persone fisiche amministratori di sistema. 30 del Codice. 300 del 24 dicembre 200850 è stato pubblicato il testo del provvedimento del 27 novembre 2008 del Garante per la protezione dei dati personali dal titolo “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”51. Il Garante ha rilevata l'esigenza di intraprendere una specifica attività rispetto ai soggetti preposti ad attività riconducibili alle mansioni tipiche dei cosiddetti “amministratori di sistema” nonché di coloro che svolgono mansioni analoghe in rapporto a sistemi di elaborazione e banche di dati. evidenziandone la rilevanza rispetto ai trattamenti di dati personali anche allo scopo di promuovere presso i relativi titolari e nel pubblico la consapevolezza della delicatezza di tali peculiari mansioni nella "Società dell'informazione" e dei rischi a esse associati.gazzettaufficiale.5 – I nuovi adempimenti per le funzioni di “amministratore di sistema” Sulla Gazzetta Ufficiale n. annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante. 3.Non commerciale 2. I nuovi adempimenti non riguardano i titolari destinatari delle recenti “semplificazioni” sugli obblighi privacy.

anche dai responsabili del trattamento. inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. in particolare. Ciò allo scopo di rendere tali obblighi più agevoli per quelle realtà aziendali nelle quali determinati servizi informatici vengono svolti da società esterne. 5.. tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti. n. Tempi di adozione delle misure e degli accorgimenti. oppure tramite il disciplinare tecnico la cui adozione è prevista dal provvedimento del Garante n. non inferiore a sei mesi.3 servizi informatici cui questi sono preposti. in modo da controllare la sua rispondenza alle misure organizzative. Con le nuove disposizioni53 il Garante intende facilitare il corretto adempimento alle prescrizioni impartite. 13 del 1° marzo 2007 (in Gazzetta Ufficiale 10 marzo 2007. gli accorgimenti e le misure dovranno essere introdotti anteriormente all'inizio del trattamento dei dati.il termine per l'adozione delle prescrizioni è stato prorogato al 15 dicembre prossimo.5 Italia License . Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente. Per tutti gli altri trattamenti che avranno inizio dopo il predetto termine di trenta giorni dalla pubblicazione. le misure e gli accorgimenti (…) dovranno essere introdotti al più presto e comunque entro.Non commerciale 2. L’autorità. gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema. 58). con cadenza almeno annuale. Lezione 1 – Unità didattica 1.it/garante/doc. ha consentito che gli adempimenti connessi all'individuazione degli amministratori di sistema e alla tenuta dei relativi elenchi possano essere effettuati. in alternativa si possono anche utilizzare strumenti di comunicazione interna (a es. recependo alcune indicazioni pervenute. e non oltre. intranet aziendale.jsp?ID=1626595 40 Creative Commons Attribuzione . di un'attività di verifica da parte dei titolari del trattamento. Per tutti i titolari dei trattamenti già iniziati o che avranno inizio entro trenta giorni dalla data di pubblicazione nella Gazzetta Ufficiale del presente provvedimento. Ciò. 4. anche da associazioni di categoria. ordini di servizio a circolazione interna o bollettini). Registrazione degli accessi. attraverso un “comunicato stampa”52 ha integrato e parzialmente modificato il provvedimento relativo agli "amministratori di sistema". Verifica delle attività.jsp?ID=1626716 53 http://www. oltre che dai titolari.limitatamente alle misure tecniche e organizzative necessarie per quanto richiesto . il termine che è congruo stabilire.garanteprivacy. in centoventi giorni dalla medesima data. Le registrazioni (access log) devono avere caratteristiche di completezza. 6. Di conseguenza . Il 26 giugno 2009 il Garante per la protezione dei dati personali. 52 http://www. avvalendosi dell'informativa resa agli interessati ai sensi dell'art. mantenendo comunque elevato il livello di protezione dei dati personali e le garanzie per i cittadini.it/garante/doc. Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. salvi i casi in cui tale forma di pubblicità o di conoscibilità non sia esclusa in forza di un'eventuale disposizione di legge che disciplini in modo difforme uno specifico settore. L'operato degli amministratori di sistema deve essere oggetto. Ciò. nel corso della consultazione pubblica conclusasi il 31 maggio. per ogni eventuale evenienza.garanteprivacy. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo. 13 del Codice nell'ambito del rapporto di lavoro che li lega al titolare.

00 a € 60.000.000.000 a 24. trattamenti che Falsità nelle dichiarazioni e notificazioni presentano rischi specifici) Da € 5.000 euro Da 1.000 euro.garanteprivacy.000 a 30.000 euro Da 6.5 Italia License . giudiziari.000. In particolare il trattamento in violazione delle misure di sicurezza.00 del divieto di Effettuare indagini su opinioni politiche.L. oltre ad essere punito con l’arresto sino a due anni.00 a € 24. trattamenti che presentano rischi specifici) Reclusione da 1 a 3 anni Omessa o inidonea informativa (dati sensibili.Non commerciale 2.000 euro di salute Omessa o incompleta notificazione Da 10. 207 Illeciti penali Sanzioni amministrative Trattamento illecito di dati Reclusione da 6 a 24 mesi Omessa o inidonea informativa Da € 3.300/1970 Arresto da 15 giorni a 1 anno Gli inasprimenti delle sanzioni già previste Sanzioni amministrative Prima del DL 207/2008 DOPO il DL 207/2008 Omessa od inidonea informativa all’interessato Da 3.it/guridb/dispatcher?service=1&datagu=2008-12- 31&task=testoArticolo&progressivoarticolo=0&versionearticolo=1&subarticolo=1&numeroarticolo=44&redaz=008G0 232&tmstp=1232193077977 55 http://www.00 a € di sicurezza 50. 30.000.3 Modulo 1.12. vengono inoltre previsti casi di minore e maggiore gravità.000 euro 54 http://www.000.000.00 Violazione da parte dei datori di lavoro Omessa o incompleta notificazione Da € 10.000 a 18.4 Legge n.000 a 60.000 euro Omessa informazione o esibizione di documenti al Garante Da 4. Controllo attraverso Omessa informazione o esibizione al luso di impianti audiovisivi.00 a € 18.jsp?ID=1311248 41 Creative Commons Attribuzione .000 a 6.00 a € 30.00 a € 3.000.12. 207 sono state inasprite le sanzioni previste dal “Codice in materia di protezione dei dati personali”55. Le sanzioni prima del D.000.000 euro Da 10.000 a 36.000 a 60.3.00 a € 30. giudiziari.000. rispettivamente con diminuzione ed aumento delle sanzioni.000.00 apparecchiature art.000 euro Da 10. o altre Garante dei documenti richiesti Da € 4.000.2008 n.000 a 120.000 euro Da 20.it/garante/doc.000.2008 n.gazzettaufficiale.00 al Garante Reclusione da 6 mesi a 3 anni Arresto fino a 2 anni Sanzione Cessione illecita di dati Da € 5.000 a 120.L.000 euro Cessione illecita dei dati Da 5.00 Violazione relativa ai dati personali idonei a rilevare lo stato di salute Da € 500. 30. viene punito con una sanzione amministrativa da 20.000 euro Violazioni relative ai dati personali idonei a rivelare lo stato Da 500 a 3.6 – Gli “inasprimenti” delle sanzioni del 30 dicembre 2008 Con l’articolo 4454 del D. Lezione 1 – Unità didattica 1.000 a 60.00 Omessa adozione delle misure minime pecuniaria da € 10.000.00 Trattamento illecito di dati (dati sensibili.

Lezione 1 – Unità didattica 1.Non commerciale 2. 42 Creative Commons Attribuzione . 162 c.000 a 300.000 a 120.000 euro Introduzione dell’articolo 164 bis c. 33 e dell’allegato B al Dlgs.3 Le nuove sanzioni Nuovo comma 2 bis all’articolo 162 In caso di “trattamento di dati in violazione delle misure di sicurezza (misure di cui all’art. L’articolo 169 prevede inoltre l’arresto sino a due anni ‐ nel caso di regolarizzazione delle omissioni nei 60 giorni successivi l’autore della violazione è ammesso a definire la violazione con il pagamento del quarto del massimo. 3 (Casi di maggiore gravità) Nei casi di maggiore gravità e di maggiore rilevanza del pregiudizio per uno o più interessati. l’adempimento ed il pagamento estinguono il reato.000 euro. 1 (Casi di minore gravità) Se taluna delle violazioni di cui agli articoli 161‐162‐163‐164 è di minore gravità avuto riguardo anche alla natura economica e sociale dell’attività svolta i limiti minimi e massimi delle sanzioni sono applicati in misura pari a 2/5 (due quinti) Introduzione dell’articolo 164 bis c. i limini minimo e massimo delle sanzioni sono applicati in misura pari al doppio Introduzione dell’articolo 164 bis c. 2 (Cumulo delle sanzioni) In caso di violazione di più disposizioni ad eccezione di quelle di cui all’art. Introduzione dell’articolo 164 bis c. o quando la violazione coinvolge numerosi interessati. 4 (Casi di maggiore gravità) Le sanzioni possono essere aumentate sino al quadruplo quando possono risultare inefficaci in ragione delle condizioni economiche del trasgressore.5 Italia License . commesse anche in tempi diversi in relazione a banche dati di particolare rilevanza o dimensioni si applica la sanzione amministrativa da 50. 196/2003 incluso il DPS)” si applica in sede amministrativa in ogni caso la sanzione da 20. 2 ‐162 bis e 164.

Oggi è in personali.3 Domande di verifica 1. (o buoni) pagatori. L’allegato A3 contiene Vero. fissa le regole da contiene il codice sul marketing non è adottare nel deontologico sul ancora stato emanato. Parzialmente vero. Falso.Non commerciale 2. trattare i dati delle codice di condotta da per inviare la persone ed aziende far sottoscrivere al notificazione dei registrate come cattivi consumatore. L’allegato Falso. 231/01. 43 Creative Commons Attribuzione . Codice. privacy. Parzialmente vero contiene l’elenco delleL’allegato contiene le L’allegato B indica L’allegato B faceva misure minime di disposizioni tecniche come garantire i diritti parte della precedente sicurezza da adottare relative alla misure dei cittadini in ambito legge 675 sulla per i trattamenti di dati minime di sicurezza privacy. Questo allegato Vero. L’allegato le centrali rischi fissa le regole su come contiene anche un contiene le modalità private. trattamenti al Garante. Lezione 1 – Unità didattica 1.3 Domanda Prima risposta Seconda risposta Terza risposta L’allegato B al Codice Vero. Falso. il codice deontologico Il codice deontologico È l’allegato A4 che Il codice deontologico sul marketing.lgs. L’allegato A5 riguarda Vero. già enunciate nel vigore il d. personali per finalità di marketing e commerciali.5 Italia License . trattamento di dati marketing.

Domande di verifica 1. Lezione 1 – Risposte alle domande di verifica Risposte alle domande di verifica della lezione 1 Domande di verifica 1. Vero. la protezione dei dati Il Garante può personali non ha reali infliggere sanzioni ed poteri ma può imporre le proprie semplicemente decisioni fino al “consigliare” i blocco dei comportamenti trattamenti.1 e risposte corrette Domanda Il Codice in materia di Falso. La legge sulla privacy Falso. e le imprese. gennaio 2004 e sostituisce la precedente legge n. corretti.Non commerciale 2.2 e risposte corrette Domanda L’Autorità Garante per Falso. I cittadini. componenti I membri dell’Autorità Garante dell’autorità sono per la privacy è di tipo nominati dal “politica”. Quando è stata Nel 2004 dal Codice abrogata la legge sulla in materia di privacy del 1996? protezione dei dati personali. Le norme sulla riguarda solo le privacy si applicano persone fisiche e non sia a persone fisiche le aziende. Parlamento.675 del 1996. suggerimenti e modelli 44 Creative Commons Attribuzione . che ad aziende. La nomina dei Vero.5 Italia License . possono appellarsi Sul sito del Garante sono direttamente al garante per disponibili anche far valere i propri diritti. il Codice in protezione dei dati materia di protezione personali è in vigore dei dati personali è in dal primo gennaio vigore dal primo 2001.

Garante vi sono le Ogni anno il Garante ispezioni nelle aziende presenta per valutare il rispetto pubblicamente il degli adempimenti di piano delle ispezioni legge. Questo allegato le centrali rischi fissa le regole su private.5 Italia License . Domande di verifica 1. L’allegato A3 contiene Falso. previste. già enunciate nel Codice.3 e risposte corrette Domanda L’allegato B al Codice Vero. contiene l’elenco delle L’allegato contiene le misure minime di disposizioni tecniche sicurezza da adottare relative alla misure per i trattamenti di dati minime di sicurezza personali. Lezione 1 – Risposte alle domande di verifica per esercitare tale diritto Tra gli incarichi del Vero. 45 Creative Commons Attribuzione . L’allegato A5 riguarda Vero. come trattare i dati delle persone ed aziende registrate come cattivi (o buoni) pagatori. sul marketing non è ancora stato emanato.Non commerciale 2. il codice deontologico Il codice deontologico sul marketing.

Non commerciale 2. Lezione 1 – Risposte alle domande di verifica Pagina lasciata intenzionalmente bianca 46 Creative Commons Attribuzione .5 Italia License .

1 – Principali adempimenti previsti dal Codice Unità Didattica 2. Lezione 2 – Organizzazione della privacy Lezione 2 – Organizzazione della privacy Caso di studio a – Arcobaleni196 si organizza Unità Didattica 2.2 – Provvedimenti più rilevanti per le aziende Unità Didattica 2.5 Italia License .3 – Organizzazione della privacy Risposte alle domande di verifica della lezione 2 47 Creative Commons Attribuzione .Non commerciale 2.

• Corso per Responsabile dei trattamenti con video sorveglianza. 48 Creative Commons Attribuzione . Concetti chiave: • Organizzazione per la privacy. • Corso per Responsabile dei trattamenti di marketing. • Adempimenti privacy. Responsabile. • Titolare.5 Italia License . notificazione • Misure di sicurezza A chi si rivolge questa lezione? Direzione aziendale. incaricato. consenso. Responsabili dei trattamenti Percorsi formativi • Corso per Direzione. Lezione 2 – Organizzazione della privacy Obiettivi di apprendimento • Cosa sono i provvedimenti del Garante? • Informativa.Non commerciale 2. • Corso per Responsabile dei trattamenti.

Lezione 2 – Caso di studio B Lezione 2 – Caso di studio B - Arcobaleni196 si organizza 49 Creative Commons Attribuzione .5 Italia License .Non commerciale 2.

a lui ed ai suoi collaboratori. 3. ed è detentrice di numerosi brevetti nazionali ed internazionali. Mi spiega in breve di cosa si occupa Arcobaleni196?” “Molto volentieri ingegnere. I prodotti non sono venduti direttamente al pubblico ma alle principali case automobilistiche mondiali. ricerca e sviluppo. Lezione 2 – Caso di studio B Nel primo incontro con il Direttor Generale della società Arcobaleni196 (il cavalier Arcobaleni!) ho fatto. Ho fondato io quest’azienda vent’anni fa!” Presentazione di Arcobaleni196 srl La storia Arcobaleni196 srl è una società specializzata nella produzione di vernici speciali per la carrozzeria di veicoli. attuale Direttore Generale. area a cui fanno riferimento 4 reparti: 1. La società è stata fondata agli inizi degli anni 80 da Pinco Arcobaleni. impianti. Struttura organizzativa La maggior parte dei dipendenti lavora nell’area “produzione”. logistica. Adesso sono di nuovo a colloquio con il cavalier Arcobaleni per decidere cosa deve fare l’azienda per essere “conforme” alla normativa sulla privacy. Ci dica dunque: cosa dobbiamo fare. in concreto? Quanto tempo ci vuole per mettere tutto a posto? E specialmente quanto mi costerà tutto ciò?” “Risponderò tra un attimo a tutte le sue domande. Per indicarle in modo chiaro e completo gli adempimenti a cui siete soggetti ho bisogno di qualche altra informazione.Non commerciale 2. noi siamo una piccola impresa e dobbiamo essere concreti! Mi ha convinto che Arcobaleni196 deve organizzarsi meglio rispetto alla privacy. “Caro ingegnere” esordisce il cavalier Arcobaleni non appena mi sono accomodato nel suo ufficio “la sua lezione di introduzione alla Privacy è stata molto interessante però fin’ora ho sentito solo teoria … Capisce. 50 Creative Commons Attribuzione .5 Italia License . 2. La società è certificata secondo la norma UNI EN ISO 9001:2000 per tutte le proprie attività. caro cavaliere. un riepilogo delle principali norme in ambito privacy. Dunque le chiedo una ulteriore cortesia. I dipendenti sono circa 60. vicino Roma. La sede unica dell’azienda è ubicata presso Colleazzurro.

• alla società di pubblicizzare eventi commerciali.Non commerciale 2. • sicurezza 626 sul posto di lavoro. • aspetti fiscali.it/ 51 Creative Commons Attribuzione . informatica.5 Italia License . Un’ultima domanda. “Bene cavaliere. per la commercializzazione dei propri prodotti. qualità. Funzioni e processi esternalizzati Sono affidati a ditte esterne: • gestione paghe e contributi. legali e di diritto del lavoro. risorse umane. adesso ho le idee più chiare. • sicurezza fisica e vigilanza.arcobaleni196. di una rete di distributori internazionali. In questa azienda non c’è un responsabile per la privacy?” “Assolutamente no! Le ho già detto che non trattiamo dati personali! Anzi mi scusi non trattiamo dati sensibili … Perché me lo chiede? Lei mi consiglia di nominare un responsabile?” 56 http://www. Canali distributivi Arcobaleni196 si avvale. • ai clienti di trovare il fornitore di riferimento per zona geografica o tipo di prodotto. Negli ultimi cinque anni ha cominciato ad utilizzare anche il canale Internet e si è dotata di un sito web56 che fungere da vetrina elettronica dei prodotti della società e permette: • ai distributori di fare gli ordini ad Arcobaleni196 via web. Il resto dei dipendenti lavora nelle funzioni amministrative: contabilità. Lezione 2 – Caso di studio B 4.

“Mi scusi può ripetere la definizione di trattamento? Sarebbero i database?” “Abbiamo anche applicazioni informatiche senza database!” “Dobbiamo anche elencare i tabulati?” “Cosa facciamo per gli archivi cartacei del personale?” 52 Creative Commons Attribuzione . Inoltre dobbiamo verificare anche con il responsabile amministrativo …” “Dobbiamo censire i trattamenti elettronici ed anche quelli cartacei” ricordo al cavaliere. Al lavoro! Eccoci di nuovo tutti intorno al tavolo. “Allora riconvochiamo tutti i miei collaboratori e facciamoci indicare i trattamenti direttamente da loro!” esclama il Arcobaleni sollevando il telefono. Spiego ancora una volta che per operare in modo efficace rispetto agli adempimenti della privacy occorre in primo luogo partire dal censimento dei trattamenti dei dati personali.Non commerciale 2. “Proviamo a censire tutti i trattamenti di dati personali che sono svolti in Arcobaleni196. Lezione 2 – Caso di studio B “La nomina del responsabile dei trattamenti non è obbligatoria ma di solito è utile in quanto concentra su una figura aziendale il rispetto degli adempimenti. Ciascuno scriva i trattamenti che conosce e poi confrontiamo i risultati Subito nascono i dubbi. Poi occorre chiedere al responsabile dei sistemi informativi. Adesso cercherò di riassumerle quali sono questi adempimenti nel caso di Arcobaleni196. Propongo dunque un “esercizio collettivo”.5 Italia License . Chi è che ha un quadro completo di essi?” “Non so …” medita Arcobaleni “Qualcosa posso dirle io stesso. Le dico subito che parte di essi nascono dal tipo di trattamenti di dati personali che sono effettuati in azienda.

però. filosofico. grazie a tutti per la collaborazione.Non commerciale 2. l'adesione a partiti. Ecco il risultato: • Paghe e contributi • Gestione personale • Fatturazione attiva Clienti • Fornitori • Contabilità • Ciclo di produzione • Gestione Qualità. calma! Dobbiamo fare solo un simulazione. • Prototipi “Bene. Mi faccio consegnare gli elenchi e metto tutto insieme in una unica lista eliminando i doppioni. filosofiche o di altro genere. Riepilogo le regole di questo gioco 1) ciascuno di voi scriva sul proprio block notes un semplice elenco dei dati che tratta per la propria attività lavorativa 2) con trattamento intendiamo letteralmente l’uso. politico o sindacale. A mio avviso. cartaceo • Adempimenti societari. associazioni od organizzazioni a carattere religioso. 53 Creative Commons Attribuzione . come dati personali 4) indicate se il trattamento è completamento cartaceo (non automatizzato) o mediante sistemi informatici 5) abbiamo 10 minuti. sindacati. cartaceo • Guardiania. cartaceo • comunicazioni commerciali • adempimenti e consulenza fiscale. le convinzioni religiose. cartaceo • adempimenti e consulenza giuslavoristica. manuale o informatizzato. anche quelle pubbliche. nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. Ricordo le definizioni. di dati ed informazioni 3) per semplificare consideriamo tutti i dati e le informazioni.5 Italia License . cartaceo • adempimenti e consulenza legale. sulla base di quanto il cavalier Arcobaleni mi ha raccontato prima del vostro arrivo dovremmo aggiungere i seguenti trattamenti: • sicurezza sul posto di lavoro 626. le opinioni politiche. Lezione 2 – Caso di studio B “Calma.” 10 minuti dopo abbiamo i risultati. • Dati sensibili: i dati personali idonei a rivelare l'origine razziale ed etnica. cartaceo” Poi chiedo ai presenti di aiutarmi ad individuare dove si trovano i dati sensibili e giudiziari nei trattamenti che abbiamo censito. cartaceo • corrispondenza e protocollo posta entrata ed uscita • videosorveglianza • ordini via web • posta elettronica • curricula aspiranti collaboratori e dipendenti.

Non commerciale 2. Prototipi Sicurezza sul posto di lavoro 626 No Sì Sì corrispondenza e protocollo posta entrata Sì Sì ed uscita videosorveglianza ordini via web posta elettronica curricula aspiranti collaboratori e Sì Sì dipendenti. di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti. 54 Creative Commons Attribuzione .R. n. Ecco il risultato. del d. Trattamento Automatizzato Dato sensibile Dato giudiziario Paghe e contributi Sì Sì Gestione personale Sì Sì Fatturazione attiva Clienti Fornitori Contabilità Ciclo di produzione Gestione Qualità No Adempimenti societari No Sì Guardania. cartaceo comunicazioni commerciali adempimenti e consulenza fiscale No adempimenti e consulenza legale No Sì adempimenti e consulenza giuslavoristica No Sì Sì Infine inseriamo una nuova colonna per indicare se il trattamento è svolto internamento all’azienda o esternalizzato ad un fornitore. lettere da a) a o) e da r) a u). in materia di casellario giudiziale.P. o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale.5 Italia License . 14 novembre 2002. 313. comma 1. Lezione 2 – Caso di studio B • Dati giudiziari: i dati personali idonei a rivelare provvedimenti di cui all'articolo 3.

” Dopo qualche secondo di silenzio prende la parola il cavalier Arcobaleni. 3) Arcobaleni196 tratta anche dati sensibili e giudiziari.Non commerciale 2. occorre provvedere a nominare gli “amministratori di sistema” interni e censire quelli esterni. “Bene ingegner Marcelli. è fortemente consigliato. 4) Arcobaleni effettua trattamenti di videosorveglianza dunque deve adottare gli adempimenti indicati dal Garante per tali casi. 2) Tutti coloro che in azienda trattano dati personali devono ricevere dal titolare una lettera di incarico scritta che specifichi ambiti e modalità del trattamento. Lezione 2 – Caso di studio B Trattamento Automatizzato Dato sensibile Dato giudiziario Esternalizzato Paghe e contributi Sì Sì Sì Gestione personale Sì Sì Sì Fatturazione attiva Clienti Fornitori Contabilità Ciclo di produzione Gestione Qualità No Adempimenti societari No Sì Guardania. che non vanno svolti una tantum ma periodicamente.5 Italia License . “Bene signori. cartaceo comunicazioni commerciali adempimenti e consulenza fiscale No Sì adempimenti e consulenza legale No Sì Sì adempimenti e consulenza giuslavoristica No Sì Sì Sì È il momento delle conclusioni. nominare un responsabile aziendale della privacy. 5) È opportuno dare ulteriori istruzioni scritte a tutti gli utilizzatori sull’uso di sistemi quali Internet e posta elettronica. “Per concludere” sottolineo “per garantire il rispetto di tutti questi adempimenti. in relazione al provvedimento del Garante del novembre 2008. Mettiamoci al lavoro. dipendenti) e nei casi previsti dalla legge ottenere da questi il consenso al trattamento. dunque deve adottare le relative misure di sicurezza di tipo organizzativo e tecnologico tra cui la redazione e l’aggiornamento annuale del Documento Programmatico della Sicurezza (DPS). Mi ha convinto. 6) Infine. specie a garanzia del titolare dell’azienda. Da dove cominciamo?” 55 Creative Commons Attribuzione . grazie a questo esercizio comune siamo giunti al punto che ci premeva. fornitori. Prototipi Sicurezza sul posto di lavoro 626 No Sì Sì Sì corrispondenza e protocollo posta entrata Sì Sì ed uscita videosorveglianza ordini via web posta elettronica Sì curricula aspiranti collaboratori e Sì Sì Sì dipendenti. Quali sono gli adempimenti privacy che Arcobaleni196 deve rispettare?” 1) Come tutte le aziende che trattano dati personali Arcobaleni196 deve dare l’informativa su tali trattamenti a tutti gli interessati (clienti.

Siete tutti pronti? Si parte con la seconda lezione. Lezione 2 – Caso di studio B “Cominciamo a vedere più in dettaglio gli adempimenti richiesti dalle norme privacy. I provvedimenti più rilevanti 2. Organizzazione della privacy Inizia il corso… 56 Creative Commons Attribuzione .” Vi parlerò di tre argomenti 1.5 Italia License . Principali adempimenti 3.Non commerciale 2.

8 – I diritti degli interessati Modulo 2. Lezione 2 – Unità didattica 2.1 Lezione 2 – Unità didattica 2.1.1.3 – La notificazione Modulo 2.1 – Principali adempimenti previsti dal Codice Modulo 2.1.1 – L’informativa Modulo 2.1.4 – Il trasferimento dei dati in paesi terzi Modulo 2.1.2 – Il consenso Modulo 2.Non commerciale 2.1.5 – Le lettere di incarico Modulo 2.1.6 – Le misure di sicurezza Modulo 2.5 Italia License .1 57 Creative Commons Attribuzione .1.9 – Check list di verifica degli adempimenti Domande di verifica 2.1.7 – La formazione Modulo 2.

in particolare. è indicato tale responsabile. come circolano i dati e in che modo esercitare i diritti riconosciuti dalla legge.1 Modulo 2. L'informativa di cui al comma 1 contiene anche gli elementi previsti da specifiche disposizioni del presente codice e può non comprendere gli elementi già noti alla persona che fornisce i dati o la cui conoscenza può ostacolare in concreto l'espletamento. e l'ambito di diffusione dei dati medesimi.garanteprivacy. Lezione 2 – Unità didattica 2.it/garante/document?ID=1382763 58 http://www. L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa: a) le finalità e le modalità del trattamento cui sono destinati i dati.1. Tratto dalla brochure del Garante per la protezione dei dati personali: “La tutela dei dati personali: il primo Garante sei tu”57. del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. In maniera più formale il “Codice in materia di protezione dei dati personali”58 all’articolo 13 recita come segue. e) i diritti di cui all'articolo 7. 2.1 – L’informativa L’informativa contiene le informazioni che il titolare del trattamento deve fornire all’interessato per chiarire. indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. b) la natura obbligatoria o facoltativa del conferimento dei dati. c) le conseguenze di un eventuale rifiuto di rispondere. di funzioni ispettive o di controllo svolte per finalità di difesa o sicurezza dello Stato oppure di prevenzione. Art. se designati.jsp?ID=1311248 58 Creative Commons Attribuzione .Non commerciale 2.garanteprivacy. Informativa 1. d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati. da parte di un soggetto pubblico. Quando il titolare ha designato più responsabili è indicato almeno uno di essi. f) gli estremi identificativi del titolare e. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7. 13.5 Italia License . 57 http://www. se quest’ultimo è obbligato o meno a rilasciare i dati. accertamento o repressione di reati. quali sono gli scopi e le modalità del trattamento.it/garante/doc.

• estremi identificativi del titolare e. anche in forma orale. • natura obbligatoria o facoltativa del conferimento dei dati e conseguenze di un eventuale rifiuto di rispondere. La disposizione di cui al comma 4 non si applica quando: a) i dati sono trattati in base ad un obbligo previsto dalla legge. In caso di dati raccolti presso l’interessato. del Codice). 60 http://www. • soggetti o categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza. dichiari manifestamente sproporzionati rispetto al diritto tutelato. l'informativa di cui al comma 1. per far valere o difendere un diritto in sede giudiziaria. prescrivendo eventuali misure appropriate. quando è prevista la loro comunicazione. non è necessario farlo presente nuovamente. comprensiva delle categorie di dati trattati. ma si possono usare anche “informative” sotto forma di voce preregistrata (operatori telefonici) o forma analoghe. a giudizio del Garante. sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento.Non commerciale 2. 5. Si può utilizzare anche uno spazio all’interno dell’ordinario materiale cartaceo e della corrispondenza 59 Ove possibile in forma scritta. in modo sintetico e colloquiale. 4.5 Italia License . è data al medesimo interessato all'atto della registrazione dei dati o. n.1 3. c) l'informativa all'interessato comporta un impiego di mezzi che il Garante. b) i dati sono trattati ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000. Il Garante può individuare con proprio provvedimento modalità semplificate per l'informativa fornita in particolare da servizi telefonici di assistenza e informazione al pubblico. Il Garante ha precisato60 che: Se taluno di questi elementi è già noto all’interessato. Nel rapporto con fornitori. prima delle operazioni del trattamento.jsp?ID=1412271#par3 59 Creative Commons Attribuzione . l’informativa deve essere resa. Lezione 2 – Unità didattica 2. da un regolamento o dalla normativa comunitaria. o. se designato. In pratica L’azienda deve predisporre un documento59 denominato “informativa” che contenga almeno le seguenti informazioni: • finalità e modalità del trattamento. all’inizio delle operazioni di trattamento (che potranno anche protrarsi nel tempo). comunque. dipendenti e collaboratori non è necessario ripeterla in occasione di ogni contatto: è sufficiente fornirla con una formula generale una tantum. clienti. senza includere elementi già noti all’interessato (art. non oltre la prima comunicazione. 397. ovvero si riveli. • diritti riconosciuti all’interessato dall'articolo 7 del Codice. del responsabile del trattamento.garanteprivacy. impossibile. È possibile fornire l’informativa anche oralmente. Se i dati personali non sono raccolti presso l'interessato. 13 comma 2.it/garante/doc.

 i dati da Voi forniti potranno essere oggetto di comunicazione. 196/2003 “Codice in materia di protezione dei dati personali” Ai sensi dell'art. 13 del d. che svolgono per conto della società compiti tecnici. di supporto (in particolare. al trattamento dei Vostri dati personali ancorché pertinenti allo scopo della raccolta. o quando siano trattati ai fini di invio di materiale pubblicitario o di vendita diretta o di ricerche di mercato o di comunicazione commerciale. Per l’esercizio di tali diritti. della logica applicata nel caso di trattamento con l’ausilio di strumenti elettronici. in qualità di incaricati o responsabili. interni ed esterni. 196 del 2003 Vi riconosce taluni diritti.  ottenere l’aggiornamento. quando vi avete interesse. nel pieno rispetto delle prescrizioni di legge.5 Italia License . Lezione 2 – Unità didattica 2. e più precisamente che:  le finalità del trattamento sono relative all’esecuzione degli obblighi derivanti dal rapporto contrattuale e ad ogni incombenza ad esso strettamente correlata nonché a obblighi derivanti da leggi. delle finalità e modalità del trattamento. 196/2003 “Codice in materia di protezione dei dati personali” ed in relazione al rapporto contrattuale in essere con la nostra azienda. 7 del D.  opporVi in tutto o in parte. dei soggetti o delle categorie di soggetti ai quali i dati possono essere comunicati o che possono venirne a conoscenza. e che tali dati Vi vengano comunicati in forma intelligibile.Non commerciale 2. si informa che i Vostri dati personali formeranno oggetto di trattamento.Lgs. Vi ricordiamo che l’art. i dipendenti e i collaboratori esterni addetti alla Funzione Contabilità Fornitori nonché soggetti. per finalità strettamente correlate all’esecuzione dei nostri obblighi contrattuali. potrete rivolgerVi al responsabile del trattamento di Arcobaleni196 domiciliato per le funzioni presso la sede legale della società al quale ci si può rivolgere via email privacy@arcobaleni196. la rettifica o. degli estremi identificativi del titolare e del responsabile. 60 Creative Commons Attribuzione .1 Esempio di informativa per clienti e fornitori (senza consenso) Informativa al trattamento dei dati personali al sensi del d.  ottenere l’indicazione dell’origine dei dati. l’integrazione dei dati. servizi informatici. la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge. In particolare Voi potrete:  ottenere la conferma della esistenza o meno di dati personali che Vi riguardano. mediante strumenti idonei a garantire la loro sicurezza e la riservatezza.  le modalità del trattamento possono prevedere l’utilizzo di mezzi cartacei e informatici atti a memorizzare e gestire i dati stessi. lgs.  possono venire a conoscenza dei dati. l’attestazione che tali operazioni sono state portate a conoscenza di coloro ai quali i dati sono stati comunicati o diffusi (quando ciò non si riveli impossibile o sproporzionato rispetto al diritto tutelato). la cancellazione. lgs. regolamenti e normativa comunitaria. spedizioni) e di controllo aziendale. servizi legali. per motivi legittimi.

23. oltre che nei casi previsti nella Parte II. c. Il consenso può riguardare l'intero trattamento ovvero una o più operazioni dello stesso. b. 24. atti o documenti conoscibili da chiunque.it/garante/doc.5 Italia License . Consenso 1.un determinato trattamento di dati che lo riguardano.garanteprivacy.it/garante/document?ID=1382763 62 http://www. Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato. 4. 61 http://www.jsp?ID=1311248 61 Creative Commons Attribuzione .Non commerciale 2. Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato. Tratto dalla brochure del Garante per la protezione dei dati personali: “La tutela dei dati personali: il primo Garante sei tu”61. Il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili. riguarda dati provenienti da pubblici registri. se vi sono dati sensibili. Il consenso non è richiesto. e se sono state rese all'interessato le informazioni di cui all'articolo 13. per iscritto . elenchi. Casi nei quali può essere effettuato il trattamento senza consenso 1. a specifiche richieste dell'interessato. da un regolamento o dalla normativa comunitaria.1.garanteprivacy. è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere. Art. Art. sul quale è stato preventivamente informato da chi utilizza i dati. fermi restando i limiti e le modalità che le leggi. 2. i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati.2 – Il consenso Il consenso è la libera manifestazione della volontà con la quale l’interessato accetta – in modo espresso e. prima della conclusione del contratto. se è documentato per iscritto.1 Modulo 2. 3. quando il trattamento: a. è necessario per adempiere ad un obbligo previsto dalla legge. In maniera più formale il “Codice in materia di protezione dei dati personali”62 agli articoli 23 e 24 recita come segue. Lezione 2 – Unità didattica 2.

ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico ai sensi dell'articolo 6. 62 Creative Commons Attribuzione . h. per il perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo. per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati. secondo quanto previsto dai medesimi codici. Se la medesima finalità riguarda l'interessato e quest'ultimo non può prestare il proprio consenso per impossibilità fisica. il consenso è manifestato da chi esercita legalmente la potestà. Per sintetizzare Nella maggior parte dei trattamenti effettuati in azienda in relazione a clienti e fornitori non è necessario avere il consenso della persona o ente a cui si riferiscono i dati (attenzione: l'informativa va invece sempre data almeno una volta). n. per far valere o difendere un diritto in sede giudiziaria.Non commerciale 2. comma 2. qualora non prevalgano i diritti e le libertà fondamentali. • i dati provengono da registri ed elenchi pubblici (art. del decreto legislativo 29 ottobre 1999. dal responsabile della struttura presso cui dimora l'interessato. per esclusivi scopi scientifici o statistici. con esclusione della comunicazione all'esterno e della diffusione. in conformità ai rispettivi codici di deontologia di cui all'allegato A). comma 1.1 d) riguarda dati relativi allo svolgimento di attività economiche. 24. con esclusione della diffusione. comma 1. 24.5 Italia License . per incapacità di agire o per incapacità di intendere o di volere. 490. è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000. 397. la dignità o un legittimo interesse dell'interessato. c). nel rispetto della vigente normativa in materia di segreto aziendale e industriale. sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento. a) del Codice). è necessario. comma 1. con esclusione della diffusione. o. e con modalità di utilizzo previste espressamente con determinazione resa nota agli interessati all'atto dell'informativa ai sensi dell'articolo 13. 24. di approvazione del testo unico in materia di beni culturali e ambientali o. ovvero da un prossimo congiunto. comma 2. nei casi individuati dal Garante sulla base dei principi sanciti dalla legge. da un convivente o. è effettuato da associazioni. lett. Infatti il consenso non è richiesto nei seguenti casi • i dati vengono trattati nell’esecuzione di un contratto o in fase pre-contrattuale (art. presso altri archivi privati. Si applica la disposizione di cui all'articolo 82. • il trattamento viene posto in essere per dare esecuzione a un obbligo legale (art. è necessario. b). anche non riconosciuti. lett. lett. anche in riferimento all'attività di gruppi bancari e di società controllate o collegate. n. è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti. f. dallo statuto o dal contratto collettivo. g. del Codice). Lezione 2 – Unità didattica 2. d. trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale. in loro assenza. del Codice). da un familiare. e. comunque. enti od organismi senza scopo di lucro.

Quando si trattano dati “sensibili” (ad esempio. gestione malattie di collaboratori e dipendenti) serve il consenso dell'interessato che deve essere dato per iscritto (art. 23 del Codice) 63 Creative Commons Attribuzione .1 • i dati sono relativi allo svolgimento di attività economiche da parte dell’interessato (art.5 Italia License . Nei casi restanti. comma 1. Il consenso deve essere documentato per iscritto (art. d). specifico e informato in relazione al trattamento effettuato. lett. busta paga. Lezione 2 – Unità didattica 2. per gli adempimenti amministrativi. del Codice). l'interessato deve aver manifestato un consenso libero.Non commerciale 2. 24. 23 del Codice).

nonché i dati personali idonei a rilevare lo stato di salute e la vita sessuale.Lgs. sindacati. 196/2003 “Codice in materia di protezione dei dati personali” (per i dipendenti) Arcobaleni196. Il Suo consenso al trattamento dei dati sensibili è invece richiesto dalla legge nel caso di trattamento necessario per adempiere ad obblighi previsti da contratti collettivi. le opinioni politiche. ColleAzzurro (Roma). Per lo svolgimento.Non commerciale 2. ivi comprese le finalità previdenziali. gestione di forme di previdenza e assistenza. Le ricordiamo che non è richiesto dalla legge il Suo consenso nel caso di trattamento necessario per adempiere a specifici obblighi o compiti previsti dalla legge. telematici e manuali. filosofiche o di altro genere. lgs. e in particolare:  per adempiere ad un obbligo previsto dalla legge. Firmato Il Responsabile del trattamento 64 Creative Commons Attribuzione .1 Esempio di informativa per dipendenti (con consenso) Informativa e consenso al trattamento dei dati personali al sensi del d. per nostro conto. con logiche strettamente correlate alle finalità stesse e.  per eseguire obblighi derivanti dal Suo contratto di lavoro. Il trattamento dei Suoi dati personali avviene mediante strumenti informatici. Senza il Suo consenso non potranno essere eseguite le conseguenti operazioni. anche in materia di igiene e sicurezza del lavoro e di previdenza e assistenza. erogazioni dei buoni pasto ed altri servizi affini. in modo particolare. da un regolamento o dalla normativa comunitaria. effettua trattamenti di Suoi dati personali nel pieno rispetto delle norme di legge secondo principi di correttezza. con sede in via Multicolori 123. Arcobaleni196 tratti i dati che la legge definisce come sensibili e cioè quelli idonei a rilevare l’origine razziale o etnica. Lezione 2 – Unità didattica 2. Rispetto al trattamento di tali dati. in modo da garantire la sicurezza degli stessi e sempre nel rispetto delle previsioni di cui all’art. la società effettua comunicazioni a società o enti esterni di fiducia. associazioni od organizzazioni a carattere religioso. Può accadere che per l’adempimento di specifici obblighi relativi alla gestione del rapporto di lavoro. nostri diretti collaboratori che operano in totale autonomia come distinti “titolari” del trattamento. anche aziendali (ad esempio. liceità e trasparenza e per finalità strettamente connesse e strumentali alla gestione del rapporto di lavoro. di talune delle attività relative al trattamento dei Suoi dati personali. politico o sindacale. Il loro elenco è costantemente aggiornato e può conoscerlo agevolmente e gratuitamente chiedendolo al Responsabile del trattamento. trattenute sindacali. corresponsioni di liberalità o benefici accessori). 11 del D. 196 del 2003. da un regolamento o dalla normativa comunitaria. l’adesione a partiti. di soggetti che svolgono servizi di paghe e contributi. le convinzioni religiose. Si tratta. filosofico.5 Italia License . comunque.

Lgs.Non commerciale 2.5 Italia License . 196 – può accadere che il trattamento di taluni dei miei dati sensibili derivi dall’adempimento di obblighi previsti dal contratto collettivo. 30/6/2003 n. in mancanza di consenso. Data __________________ Firma _______________________________ 65 Creative Commons Attribuzione .le Arcobaleni196 srl Premesso che – come rappresentato nell’informativa che mi è stata fornita ai sensi del D. non potranno essere eseguite le conseguenti operazioni. anche aziendale • do il consenso • nego il consenso (marcare la scelta) Sono consapevole che. Lezione 2 – Unità didattica 2.1 Consenso al trattamento dei dati personali Spett.

c. o ad analizzare abitudini o scelte di consumo. trapianto di organi e tessuti e monitoraggio della spesa sanitaria. a carattere politico. alla situazione patrimoniale. f.24 maggio 2007 - (G. rilevazione di malattie mentali. dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica. dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato.1. b. 63 http://www.1 Modulo 2. 142)”63 In maniera più formale il “Codice in materia di protezione dei dati personali”64 agli articoli 37 e 38 recita come segue. e. dati genetici. 21 giugno 2007 n.it/garante/doc. prima di iniziarlo.garanteprivacy. 37. dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi. rende nota al Garante (che la inserisce nel registro pubblico dei trattamenti consultabile da chiunque sul sito web dell'Autorità) l'esistenza di un'attività di raccolta e di utilizzazione dei dati personali. dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni. d.U.jsp?ID=1311248 66 Creative Commons Attribuzione . filosofico.Non commerciale 2. Art. trattati a fini di procreazione assistita. nonché dati sensibili utilizzati per sondaggi di opinione.3 – La notificazione La notificazione è una dichiarazione con la quale il titolare del trattamento. ricerche di mercato e altre ricerche campionarie.jsp?ID=1412271#par2 64 http://www. solo se il trattamento riguarda: a. dati idonei a rivelare lo stato di salute e la vita sessuale. Il titolare notifica al Garante il trattamento di dati personali cui intende procedere. indagini epidemiologiche.it/garante/doc. ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti. Lezione 2 – Unità didattica 2. enti od organismi senza scopo di lucro. infettive e diffusive. Notificazione del trattamento 1.5 Italia License . biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica. prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni. sieropositività. Tratto da “Guida pratica e misure di semplificazione per le piccole e medie imprese . religioso o sindacale.garanteprivacy. anche non riconosciuti.

una descrizione della o delle categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime. 4. eventualmente. i destinatari o le categorie di destinatari a cui i dati possono essere comunicati. e. 3. in quanto tale funzione è tipica del loro rapporto professionale con il Servizio sanitario nazionale. Le notizie accessibili tramite la consultazione del registro possono essere trattate per esclusive finalità di applicazione della disciplina in materia di protezione dei dati personali. f.5 Italia License .Non commerciale 2. La notificazione relativa al trattamento dei dati di cui al comma 1 non è dovuta se relativa all'attività dei medici di famiglia e dei pediatri di libera scelta. nell'ambito dei trattamenti di cui al comma 1. 1-bis. le coordinate identificative del titolare del trattamento e. 2. che contiene la richiesta di fornire tutte e soltanto le seguenti informazioni: a. 38. anche mediante convenzioni con soggetti pubblici o presso il proprio Ufficio. e può anche riguardare uno o più trattamenti con finalità correlate. del suo rappresentante. a prescindere dal numero delle operazioni e della durata del trattamento da effettuare. Con analogo provvedimento pubblicato sulla Gazzetta Ufficiale della Repubblica italiana il Garante può anche individuare. c. La notificazione è effettuata con unico atto anche quando il trattamento comporta il trasferimento all'estero dei dati. Lezione 2 – Unità didattica 2. la o le finalità del trattamento. a comportamenti illeciti o fraudolenti. in ragione delle relative modalità o della natura dei dati personali. La notificazione del trattamento è presentata al Garante prima dell'inizio del trattamento ed una sola volta. Art. d. Il Garante può individuare altri trattamenti suscettibili di recare pregiudizio ai diritti e alle libertà dell'interessato. Il Garante inserisce le notificazioni ricevute in un registro dei trattamenti accessibile a chiunque e determina le modalità per la sua consultazione gratuita per via telematica. La notificazione è validamente effettuata solo se è trasmessa attraverso il sito del Garante.1 al corretto adempimento di obbligazioni. utilizzando l'apposito modello. nonché le modalità per individuare il responsabile del trattamento se designato. con proprio provvedimento adottato anche ai sensi dell'articolo 17. una descrizione generale che permetta di valutare in via preliminare l'adeguatezza delle misure adottate per garantire la sicurezza del trattamento. Il Garante favorisce la disponibilità del modello per via telematica e la notificazione 67 Creative Commons Attribuzione . eventuali trattamenti non suscettibili di recare detto pregiudizio e pertanto sottratti all'obbligo di notificazione. 3. i trasferimenti di dati previsti verso Paesi terzi. 2. Modalità di notificazione 1. b.

come esclusi i dati relativi agli inadempimenti dei propri clienti tenuti da ciascuna impresa • dati genetici o biometrici • dati volti a definire il profilo o la personalità dell'interessato.3. interessano: • amministrazioni pubbliche e società private che utilizzano dati personali non sensibili (nome.garanteprivacy. 4. Semplificazione del dicembre 2008 (vedi anche Modulo 1. anche presso associazioni di categoria e ordini professionali.4 – Le “semplificazioni” del 2008 sulla sicurezza e la notificazione) Il 9 dicembre 2008 il Garante per la protezione dei dati personali ha reso noto65 un provvedimento66 sulla semplificazione di alcuni adempimenti in materia di protezione dei dati personali. indirizzo. numero di telefono) o che trattano come unici dati sensibili dei dipendenti quelli relativi allo stato di salute o all'adesione a organizzazioni sindacali. Una nuova notificazione è richiesta solo anteriormente alla cessazione del trattamento o al mutamento di taluno degli elementi da indicare nella notificazione medesima. liberi professionisti o artigiani che trattano dati solo per fini amministrativi e contabili. salvo che il trattamento riguardi pubblici registri.1 anche attraverso convenzioni stipulate con soggetti autorizzati in base alla normativa vigente. Il Garante può individuare altro idoneo sistema per la notificazione in riferimento a nuove soluzioni tecnologiche previste dalla normativa vigente. • piccole e medie imprese. elenchi.d. atti o documenti conoscibili da chiunque. adottate sentito il Ministro per la semplificazione normativa.garanteprivacy. Per sintetizzare La notificazione è una dichiarazione fatta via Internet con la quale il titolare comunica al Garante di effettuare trattamenti di dati facenti parte di una delle sette categorie considerate "a rischio": • dati relativi al rischio sulla solvibilità economica. al corretto adempimento di obbligazioni.it/garante/doc. 5. codice fiscale. Le nuove garanzie. a comportamenti illeciti o fraudolenti. Con tale provvedimento il Garante ha semplificato anche il modello utilizzato per effettuare le notificazioni. il provvedimento sulla notificazione sarà operativo entro 60 giorni dalla pubblicazione in Gazzetta e non comporterà l'obbligo di notificare di nuovo o modificare le notificazioni a carico di chi lo abbia già fatto. Lezione 2 – Unità didattica 2.it/garante/doc.jsp?ID=1571218 68 Creative Commons Attribuzione .jsp?ID=1573203 66 http://www.Non commerciale 2. cognome. 6.5 Italia License . Il titolare del trattamento che non è tenuto alla notificazione al Garante ai sensi dell'articolo 37 fornisce le notizie contenute nel modello di cui al comma 2 a chi ne fa richiesta. o ad analizzare abitudini o scelte di consumo (c. alla situazione patrimoniale. profilazione) 65 http://www.

• dati genetici70. i trattamenti soggetti a notificazione sono quelli relativi a: • dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica. In particolare. web 852561. in G. non devono essere notificati i dati relativi agli inadempimenti dei propri clienti tenuti da ciascuna impresa.php 68 http://www. 67 https://web.U. a comportamenti illeciti o fraudolenti. Figura tratta dal sito del Garante67 Domande frequenti sulla notificazione Tratto da “Guida pratica e misure di semplificazione per le piccole e medie imprese . 23 aprile 2004.jsp?ID=1412271#par2 69 Specifiche indicazioni sono contenute anche nel provvedimento del Garante del 31 marzo 2004 Provvedimento relativo ai casi da sottrarre all'obbligo di notificazione. in materia Provv. pure. Con specifico riguardo all'attività di impresa. 1389918 69 Creative Commons Attribuzione . come detto. web. doc. n.24 maggio 2007 - (G.it.garanteprivacy. In questo quadro la notificazione deve essere effettuata in ipotesi particolari (indicate all'art. alla situazione patrimoniale. quelli trattati direttamente dall’imprenditore) • dati sensibili utilizzati per sondaggi di opinione. doc. Chiarimenti sui trattamenti da notificare al Garante. 993385. dati trattati mediante sistemi di geolocalizzazione installati su veicoli al fine di individuarne la posizione). 81 e in www. 22 febbraio 2007. ricerche di mercato e altre ricerche campionarie.Non commerciale 2. n. non rientrano in quest'ambito. V.U. 21 giugno 2007 n. 37 del Codice). 70 V.5 Italia License . Lezione 2 – Unità didattica 2. i dati relativi agli inadempimenti dei propri clienti tenuti da ciascuna impresa.garanteprivacy. web n. 142)”68 È sempre necessario notificare il trattamento dei dati al Garante? In linea di principio i trattamenti ordinari svolti presso piccole realtà produttive non vanno notificati: si pensi ai trattamenti di dati relativi ai dipendenti. al corretto adempimento di obbligazioni.1 • dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi (non. quindi.it/rgt/NotificaTelematica. del 6 aprile 2004. ai fornitori o alla clientela69.garanteprivacy.it/garante/doc. biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica (ad esempio. doc.

Lezione 2 – Unità didattica 2.1

• dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità
dell'interessato, o ad analizzare abitudini o scelte di consumo (c.d. profilazione), ovvero a
monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti
tecnicamente indispensabili per fornire i servizi medesimi agli utenti;
• dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi (non,
quindi, quelli trattati direttamente dall'imprenditore), nonché dati sensibili utilizzati per
sondaggi di opinione, ricerche di mercato e altre ricerche campionarie.

Come si effettua la notificazione al Garante?
Solo utilizzando l'interfaccia disponibile71 sul sito web dell'Autorità e seguendo le istruzioni ivi
indicate (v. art. 38 del Codice).

Quando occorre fare una nuova notificazione?
Solo in caso di cessazione del trattamento o di mutamento di alcuni elementi dell'originaria
notificazione.

Esiste un facsimile di notificazione?
Sì, è disponibile presso il sito del Garante a questo link72 (pdf, 895 K, 12 pp.)

È possibile consultare le notificazioni effettuate da altri titolari?
Sì. Le notificazioni sono conservate in un registro pubblico accessibile via internet al seguente
link73.

71
https://web.garanteprivacy.it/rgt/NotificaTelematica.php
72
https://web.garanteprivacy.it/rgt/FacSimile_Modello_Notificazione_2008.pdf
73
https://web.garanteprivacy.it/rgt/NotificaEsplora.php
70

Creative Commons Attribuzione - Non commerciale 2.5 Italia License

Lezione 2 – Unità didattica 2.1

Modulo 2.1.4 – Il trasferimento dei dati in
paesi terzi
Nello svolgimento dell'attività di impresa può risultare necessario trasferire dati personali fuori
dell'Unione europea (ad esempio relativi alla clientela o ai dipendenti). Il Codice prevede
specifiche regole al riguardo.

Tratto da “Guida pratica e misure di semplificazione per le piccole e medie imprese - 24 maggio 2007 -
(G.U. 21 giugno 2007 n. 142)”74

Per il trasferimento di dati personali in paesi situati all’interno dell’Ue non sussistono ulteriori
obblighi in quanto, in ossequio alla direttiva 95/46/Ce (qui in pdf75, 2.1 M, 20 pp.) , tutte le nazioni
dell'Unione hanno specifiche normative in materia di protezione dei dati personali che sono tra loro
simili. In pratica la conformità alla norma italiana assicura la conformità a livello UE (art. 42 del
Codice).
Per il trasferimento di dati personali in paesi situati fuori dall'Unione europea il Codice prevede
specifiche regole, tra cui il consenso dell'interessato espresso, se si tratta di dati sensibili, in forma
scritta; il trasferimento è però possibile se:
• è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o
per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato,
ovvero per la conclusione o per l'esecuzione di un contratto stipulato a favore
dell'interessato;
• è necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge o
con regolamento;
• è necessario ai fini dello svolgimento delle investigazioni difensive (legge 7 dicembre 2000,
n. 397), o, comunque, per far valere o difendere un diritto in sede giudiziaria;
• il trattamento concerne dati riguardanti persone giuridiche, enti o associazioni.

74
http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271#par6
75
http://www.garanteprivacy.it/garante/document?ID=432175
71

Creative Commons Attribuzione - Non commerciale 2.5 Italia License

Lezione 2 – Unità didattica 2.1

Modulo 2.1.5 – Le lettere di incarico

Gli “incaricati del trattamento” sono soggetti (solo persone fisiche) che effettuano materialmente
le operazioni di trattamento dei dati personali e operano sotto la diretta autorità del titolare (o del
responsabile) attenendosi a istruzioni scritte (art. 30 del Codice), le cosiddette “lettere di
incarico”. Il titolare del trattamento è tenuto a designare gli incaricati.
È sufficiente assegnare un dipendente ad una unità organizzativa, a condizione che risultino per
iscritto le categorie di dati cui può avere accesso e gli ambiti del trattamento.

Tratto da “Guida pratica e misure di semplificazione per le piccole e medie imprese - 24 maggio 2007 -
(G.U. 21 giugno 2007 n. 142)”76 con alcune modifiche al testo

In maniera più formale il “Codice in materia di protezione dei dati personali”77 all’articolo 30
recita come segue.

Art. 30. Incaricati del trattamento

1. Le operazioni di trattamento possono essere effettuate solo da incaricati che operano
sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni
impartite.

2. La designazione è effettuata per iscritto e individua puntualmente l'ambito del
trattamento consentito. Si considera tale anche la documentata preposizione della
persona fisica ad una unità per la quale è individuato, per iscritto, l'ambito del
trattamento consentito agli addetti all'unità medesima.

In pratica
Il Garante suggerisce78 per le piccole e medie aziende di effettuare le lettere di incarico come segue.

“In un'azienda nella quale ad una unità organizzativa sono stati assegnati un determinato
numero di dipendenti, si potrà ovviare ad una formale designazione (ad esempio, mediante
consegna di apposita comunicazione scritta), qualora si individuino gli ambiti di
competenza (in ordine ai trattamenti di dati consentiti) di quella unità mediante una
previsione scritta (ad es. nell'organigramma, nel contratto, nei mansionari, ecc.) e risulti
inoltre che tali dipendenti sono stati assegnati stabilmente a tale unità.”

76
http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271#par1
77
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
78
http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271#4
72

Creative Commons Attribuzione - Non commerciale 2.5 Italia License

Lezione 2 – Unità didattica 2.1

Esempio di ambito di competenza e di lettera di incarico
Ambito di competenza

Unità Organizzativa Cognome Nome
Direzione Generale Arcobaleni Pino
Qualità e Controlli Rossetti Carmela
Risorse Umane Nerucci Giuseppina
Risorse Umane Bianchi Walter
Risorse Umane Rossi Paolino
Contabilità Nerini Mariuccia
Contabilità Neretti Aldo
Contabilità Nerucci Erika
… … …

Lettera di incarico con istruzioni per il trattamento dei dati personali

Ai sensi dell’art. 30 d. lgs. 196/2003 “Codice in materia di protezione dei dati personali” (il “Codice”) di
seguito Le sono fornite le istruzioni per il trattamento dei dati personali a cui Lei è incaricato.
Nel trattare i dati personali, sia se riferiti a persone fisiche, sia se riferiti a soggetti giuridici e
indipendentemente dalla natura ordinaria o particolare dei dati, si deve operare garantendo la massima
riservatezza delle informazioni, considerando tutti i dati personali confidenziali e, di norma, soggetti al
segreto d’ufficio; fatta eccezione per i soli dati anonimi, generalmente trattati per elaborazioni statistiche, e
quelli acquisibili da chiunque perché contenuti in atti, liste ed elenchi pubblici (seguendo comunque le
prescrizioni di legge).
La procedura di lavoro e la condotta tenuta nello svolgimento delle operazioni di trattamento, dovranno
evitare che i dati personali siano soggetti a rischi di distruzione e perdita anche accidentale; che ai dati
possano accedere persone non autorizzate; che vengano svolte operazioni di trattamento non consentite o non
conformi ai fini per i quali i dati sono stati raccolti.
Si deve dunque operare con la massima diligenza ed attenzione in tutte le fasi di trattamento, dalla esatta
acquisizione dei dati, all’eventuale loro aggiornamento, così per la conservazione ed eventuale cancellazione
o distruzione.
Non possono essere eseguite operazioni di trattamento per fini non previsti tra i compiti assegnati dal
responsabile diretto, comunque riferiti alle disposizioni e regolamenti vigenti.
I dati personali particolari possono essere trattati esclusivamente dagli incaricati, ivi compresi i diretti
superiori degli incaricati stessi, secondo l’appartenenza alle seguenti classi omogenee:
 Direzione Generale

 Qualità e Controlli
 Risorse Umane
 Contabilità
 Produzione
 Ricerca e Sviluppo

73

Creative Commons Attribuzione - Non commerciale 2.5 Italia License

Lezione 2 – Unità didattica 2.1

Modulo 2.1.6 – Le misure di sicurezza

Il profilo della sicurezza e dell'integrità delle informazioni oggetto di legittimo trattamento è un
elemento qualificante delle discipline di protezione dei dati personali (artt. 31 ss. del Codice e
disciplinare tecnico di cui all'All. B al Codice).

Tratto da “Guida pratica e misure di semplificazione per le piccole e medie imprese - 24 maggio 2007 -
(G.U. 21 giugno 2007 n. 142)79

Misure di sicurezza

Il titolare del trattamento è tenuto ad adottare tutte le misure idonee, valutate alla luce delle
conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle caratteristiche del
trattamento, a ridurre i rischi di distruzione o di perdita anche accidentale dei dati o di accesso non
autorizzato o non consentito ai dati (art. 31 del Codice).
In questo quadro vanno anche attuate le misure minime, applicabili a piccole e medie imprese (artt.
33-35 e all. B del Codice).
L'obbligo generale di adottare idonee misure di sicurezza è posto dal Codice. Il titolare del
trattamento può adempiervi avvalendosi anche di un responsabile (art. 29, comma 2, del Codice).

Misure minime di sicurezza

Le misure minime di sicurezza contenute nell'allegato B) del Codice riguardano anzitutto i
trattamenti effettuati con strumenti elettronici.
Esse comprendono:
• un sistema di autenticazione informatica con credenziali di autenticazione (cioè, un codice
per l'identificazione dell'incaricato associato a una parola chiave),
• programmi per elaboratore volti a prevenirne la vulnerabilità (ad esempio, antivirus),
• procedure per realizzare il salvataggio periodico dei dati (c.d. procedure di back up )
• la redazione di un documento programmatico sulla sicurezza in caso di trattamento di dati
sensibili.

Per i trattamenti effettuati senza l'ausilio di strumenti elettronici rientrano tra le misure minime:
• le istruzioni scritte finalizzate al controllo ed alla custodia dei dati impartite agli incaricati
• l'uso di contenitori o locali con idonea serratura per custodire i dati personali.

Il Documento Programmatico sulla Sicurezza (DPS)
In base alla vigente disciplina, in caso di trattamento di dati sensibili e giudiziari attraverso sistemi
informatici deve essere redatto il documento programmatico sulla sicurezza (art. 34, comma 1, lett.
g) e regola 19 dell'Allegato B al Codice). Si può tener conto dei suggerimenti già formulati dal
Garante che – recependo le esigenze e le istanze peculiari di professionisti e piccoli operatori, con

79
http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271#par5
74

Creative Commons Attribuzione - Non commerciale 2.5 Italia License

adottate sentito il Ministro per la semplificazione normativa. Semplificazioni del dicembre 2008 Il 9 dicembre 2008 il Garante per la protezione dei dati personali ha reso noto81 un provvedimento82 sulla semplificazione di alcuni adempimenti in materia di protezione dei dati personali.jsp?ID=1573203 82 http://www.). • piccole e medie imprese.] titolare di un trattamento di dati sensibili o giudiziari anche attraverso il responsabile. liberi professioni. comma 1. g) del Codice e regola 19 dell'Allegato B) al Codice). lo username deve essere disattivato quando viene meno il diritto di accesso ai dati (es... lett.]" (regola 19 dell'All. • devono aggiornare i programmi di sicurezza (antivirus) almeno una volta l'anno. cognome. il Garante ha fornito a piccole e medie imprese. • non deve essere comunicato al Garante. 80 http://www.garanteprivacy.jsp?ID=1571218 75 Creative Commons Attribuzione . inoltre.Non commerciale 2. Con il provvedimento. una “Guida operativa”80. se designato [. Lezione 2 – Unità didattica 2. ma semplicemente conservato dal titolare presso la propria struttura per essere esibito in occasione di eventuali accertamenti ispettivi (art. le categorie interessate: • possono impartire agli incaricati le istruzioni in materia di misure minime anche oralmente. In base al provvedimento del Garante.it/garante/doc. interessano: • amministrazioni pubbliche e società private che utilizzano dati personali non sensibili (nome. Le nuove garanzie.garanteprivacy. l'invio automatico delle mail ad un altro recapito accessibile).5 Italia License . artigiani. Procedure semplificate sono state indicate anche per chi tratta dati senza l'impiego di sistemi informatici. • deve essere redatto dal "[.1 particolare riguardo alle piccole e medie imprese – ha già reso disponibile on-line.garanteprivacy. B) cit. Il DPS: • va redatto o aggiornato entro il 31 marzo di ciascun anno. • in caso di assenze prolungate o di impedimenti del dipendente possono mettere in atto procedure o modalità che consentano comunque l'operatività e la sicurezza del sistema ( ad es. liberi professionisti o artigiani che trattano dati solo per fini amministrativi e contabili. • possono utilizzare per l'accesso ai sistemi informatici un qualsiasi sistema di autenticazione basato su un username e una password. alcune indicazioni per la redazione di un documento programmatico per la sicurezza semplificato. numero di telefono) o che trattano come unici dati sensibili dei dipendenti quelli relativi allo stato di salute o all'adesione a organizzazioni sindacali.it/garante/document?ID=1007740 81 http://www. non si opera più all'interno dell'organizzazione).. e effettuare backup dei dati almeno una volta al mese. codice fiscale. 34. indirizzo. a far data dal 11 giugno 2004. soggetti pubblici e privati che trattano dati solo a fini amministrativi e contabili..it/garante/doc.

Lezione 2 – Unità didattica 2.it/garante/doc.1 Modulo 2.r.garanteprivacy. La previsione degli interventi formativi va riportato sul Documento Programmatico sulla Sicurezza.6. che il titolare effettui una previsione di interventi formativi degli incaricati del trattamento.jsp?ID=1557184 76 Creative Commons Attribuzione . nonché in occasione di cambiamenti di mansioni.1.5 Italia License . • dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività. rilevanti rispetto al trattamento di dati personali. 83 http://www. • delle responsabilità che ne derivano.it/garante/doc. La formazione è programmata già al momento dell'ingresso in servizio. se redatto.p. • delle misure disponibili per prevenire eventi dannosi.garanteprivacy. Già nella precedente legge 675/96 (nel d. • delle modalità per aggiornarsi sulle misure minime adottate dal titolare. per renderli edotti: • dei rischi che incombono sui dati. l’allegato B84 è molto più preciso nell'esigere che il titolare del trattamento provveda a fornire ai propri dipendenti e collaboratori interventi formativi specifici. 318/99) era indicato che il DPS dovesse contenere il piano di formazione per gli incaricati del trattamento.jsp?ID=1557184 84 http://www.7 – La formazione Il “Disciplinare tecnico in materia di misure minime di sicurezza” (allegato B83) prevede al punto 19. o di introduzione di nuovi significativi strumenti.Non commerciale 2.

6 (ingresso in servizio o cambiamento di mansioni degli incaricati. in relazione a quanto previsto dalla regola 19.  Classi di incarico o tipologie di incaricati interessati: sono individuati le classi omogenee di incarico a cui l’intervento è destinato e/o le tipologie di incaricati interessati.1 Esempio di pianificazione di interventi formativi Ambito di competenza Descrizione sintetica degli Classi di incarico o tipologie Tempi previsti interventi formativi di incaricati interessati: Corso base privacy Nuovi assunti Prima di iniziare i trattamenti (autoformazione e online) Corso privacy per Risorse Risorse Umane Secondo semestre 2008 Umane (autoformazione e online) Legenda  Descrizione sintetica degli interventi formativi: sono descritti sinteticamente gli obiettivi e le modalità dell’intervento formativo. programmi o sistemi informatici. anche in riferimento alle strutture di appartenenza.  Tempi previsti: sono indicati i tempi previsti per lo svolgimento degli interventi formativi. 77 Creative Commons Attribuzione .5 Italia License .Non commerciale 2. introduzione di nuovi elaboratori. ecc) . Lezione 2 – Unità didattica 2.

garanteprivacy. la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge. 2. 3.24 maggio 2007 - (G. b. Diritto di accesso ai dati personali ed altri diritti 1. la rettificazione ovvero.U. di coloro ai quali i dati sono stati comunicati o diffusi. della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici. b. l'aggiornamento. Lezione 2 – Unità didattica 2. comma 2. dei responsabili e del rappresentante designato ai sensi dell'articolo 5. dell'origine dei dati personali.1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano. quando vi ha interesse.garanteprivacy. delle finalità e modalità del trattamento. d. anche per quanto riguarda il loro contenuto.8 – I diritti degli interessati La disciplina di protezione dei dati personali attribuisce a ciascun interessato il diritto di accedere ai dati personali a sé riferiti e di esercitare gli altri diritti previsti dall'art.Non commerciale 2. Art. di responsabili o incaricati. la cancellazione. compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati.it/garante/doc.1 Modulo 2. l'integrazione dei dati. Tratto da “Guida pratica e misure di semplificazione per le piccole e medie imprese . degli estremi identificativi del titolare. 7 del Codice. 142)85 In maniera più formale il “Codice in materia di protezione dei dati personali”86 all’articolo 7 recita come segue. c. 7. L'interessato ha diritto di ottenere: a. c. dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato.it/garante/doc.jsp?ID=1412271#par7 86 http://www. 21 giugno 2007 n.5 Italia License . L'interessato ha diritto di ottenere l'indicazione: a. e. eccettuato il caso in cui tale 85 http://www.jsp?ID=1311248 78 Creative Commons Attribuzione . l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza. anche se non ancora registrati. e la loro comunicazione in forma intelligibile.

il titolare del trattamento (o il responsabile) deve fornire riscontro (di regola) entro quindici giorni dal ricevimento dell'istanza (art. 79 Creative Commons Attribuzione .Non commerciale 2. 8. Esercizio dei diritti • Art. Lezione 2 – Unità didattica 2. 145. Sanzioni per il mancato riscontro all'interessato In caso di omesso o incompleto riscontro. 4. Riscontro all'interessato • Art. per motivi legittimi al trattamento dei dati personali che lo riguardano. L'interessato ha diritto di opporsi.5 Italia License . b. in tutto o in parte: a. 146. Ricorsi • Art. Interpello preventivo In pratica: Esercizio del diritto d'accesso Se l'interessato esercita il proprio diritto d'accesso ai dati che lo riguardano o uno degli altri diritti che gli sono riconosciuti. 146 del Codice). 9. 10. ancorché pertinenti allo scopo della raccolta. i predetti diritti possono essere fatti valere dinanzi all'autorità giudiziaria o con ricorso al Garante (art. Modalità di esercizio • Art. 145 del Codice).1 adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato. All’articolo 7 sono inoltre collegati: • Art. al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.

garanteprivacy. anche sensibili. obbligati a seguirne le istruzioni (come accade per i casi di outsourcing). 142)”87 Quesito SI NO 1. La sicurezza dei dati Sono state adottate idonee misure di sicurezza per proteggere i dati personali? Sono state adottate le misure minime di sicurezza previste per proteggere i dati personali? Se sono trattati dati sensibili e giudiziari. effettuate dall'impresa? I dati trattati sono pertinenti e non eccedenti rispetto alle legittime finalità del trattamento. quando è necessario. prima di intraprendere operazioni di trattamento.U. è stata richiesta al Garante un'autorizzazione ad hoc? 5. 24 del Codice. 24 del Codice? Se non ricorre uno dei presupposti di liceità indicati all'art. Il consenso dell'interessato Il trattamento dei dati personali viene effettuato in presenza di uno dei presupposti di liceità indicati all'art. ciò ha formato oggetto di specifica notificazione? 3. il documento programmatico per la sicurezza e ne vengono osservate le previsioni? 87 http://www.Non commerciale 2. è stato curato il loro aggiornamento in una nuova notificazione? Se cessano i trattamenti. Lezione 2 – Unità didattica 2.9 – Check list di verifica degli adempimenti Tratto da “Guida pratica e misure di semplificazione per le piccole e medie imprese .24 maggio 2007 - (G. sono stati designati per iscritto quali "responsabili del trattamento"? 2. è stato raccolto il consenso dell'interessato? Se sono trattati dati sensibili è stato raccolto il consenso scritto degli interessati? Se sono trattati dati sensibili.5 Italia License . oltre che esatti e aggiornati? Le persone fisiche che all'interno dell'impresa trattano dati personali sono state designate tutte quali "incaricate del trattamento"? Sono state fornite a tutti gli "incaricati del trattamento" istruzioni scritte circa i propri compiti? Se all'interno dell'impresa sono stati individuati soggetti che hanno ambiti di autonomia nel trattamento dei dati personali. è stato redatto. La notificazione del trattamento Si è verificato.jsp?ID=1412271#par8 80 Creative Commons Attribuzione . sono stati designati per iscritto "responsabili del trattamento"? Se fuori dell'impresa enti o persone fisiche trattano dati personali nel suo interesse.1. L'informativa È stata fornita l'informativa agli interessati in caso di dati raccolti presso di essi? È stata fornita l'informativa agli interessati in caso di dati raccolti presso soggetti diversi dagli interessati stessi? 4.it/garante/doc. è stato verificato se il trattamento rientra tra quelli già autorizzati dal Garante con le autorizzazioni generali? Se il trattamento di dati sensibili non rientra tra quelli previsti dalle autorizzazioni generali.1 Modulo 2. se l'impresa effettua i trattamenti da notificare al Garante? Se sono intervenute modificazioni relativamente ai trattamenti già eventualmente notificati. 21 giugno 2007 n. I soggetti che effettuano il trattamento È stata effettuata una valutazione circa le operazioni di trattamento di dati personali.

il trasferimento avviene: in presenza di una delle condizioni previste dall'art. Isola di Man. e comunque entro il 31 marzo di ciascun anno. formano oggetto di rinnovata valutazione le misure di sicurezza individuate con il documento programmatico per la sicurezza? 6.1 Periodicamente. Lezione 2 – Unità didattica 2. Baliato di Guernsey)? oppure verso un'impresa statunitense che aderisce al Safe Harbor? oppure in presenza di clausole contrattuali standard tra esportatore e importatore? oppure in presenza di un'autorizzazione ad hoc da parte del Garante? 7. Il trasferimento dei dati in paesi terzi Se i dati personali trattati dall'impresa sono soggetti a trasferimento verso Paesi terzi (esterni all'Unione europea e all'area economica europea).Non commerciale 2. 43 del Codice? oppure verso uno dei paesi che assicurano un livello adeguato di protezione (Svizzera. 7 del Codice In presenza dell'esercizio del diritto d'accesso.5 Italia License . I doveri del titolare del trattamento in caso di esercizio dei diritti degli interessati ai sensi dell'art. viene dato riscontro all'interessato secondo le modalità previste dalla legge? 81 Creative Commons Attribuzione . Argentina.

aziende per fare le verifiche..Non commerciale 2.1 Domanda Seconda risposta Terza risposta Le misure minime di Falso. si intende il diritto Tale diritto è indicato Tale diritto è indicato Il diritto d’accesso dell’interessato a all’articolo 7 del all’articolo 77 del consiste nella conoscere quali suoi Codice. titolare. rispetto delle misure rispetto delle misure minime di sicurezza. Vero. possibilità del Garante dati personali sono di entrare nelle trattati dal titolare. minime di sicurezza che tuttavia sono state semplificate in alcuni aspetti.. sicurezza sono uguali Con le Anche con le Le “semplificazioni” per tutti i titolari. Codice. “docenti” certificati rischi svolta dal presso il Garante.5 Italia License . “semplificazioni” del “semplificazioni” del del 2008 riguardano 2008 artigiani e PMI 2008 artigiani e PMI solo banche e non sono più tenute al sono più tenute al assicurazioni. Con diritto d’accesso Vero. Codice indica obbligatoria e deve opzionale e dipende chiaramente tale essere svolta da dalla valutazione dei obbligo. privacy è obbligatoria L’allegato B del La formazione è La formazione è e va riportata sul DPS.1 Domande di verifica 2. Lezione 2 – Unità didattica 2. La formazione sulla Vero. Vero. Vero. Vero. Falso. 82 Creative Commons Attribuzione . Falso.

Lezione 2 – Unità didattica 2.10 – Altri provvedimenti e pubblicazioni Domande di verifica 2.2.2.5 – Privacy e pubblico impiego: le “linee guida” del Garante Modulo 2.2.2.Non commerciale 2.1 – Iniziative e provvedimenti del Garante Modulo 2.4 – Banche: la “guida” del Garante per l'uso dei dati dei clienti Modulo 2.9 – Videosorveglianza Modulo 2.7 – Linee guida per il trattamento di dati dei dipendenti privati Modulo 2.2.2.2 Lezione 2 – Unità didattica 2.2.2.2.2 83 Creative Commons Attribuzione .5 Italia License .2.2 – Provvedimenti più rilevanti per le aziende Modulo 2.8 – Impronte digitali e altri sistemi biometrici Modulo 2.2 – I nuovi adempimenti per le funzioni di “amministratore di sistema” Modulo 2.6 – Linee guida del Garante per posta elettronica e internet Modulo 2.3 – Semplificazioni degli adempimenti Modulo 2.

3.it/garante/doc.garanteprivacy.l.jsp?ID=1626595 93 http://www.2 Modulo 2. attraverso il suo sito.1 – Iniziative e provvedimenti del Garante Il quadro normativo italiano sulla privacy non si limita al Codice ed ai suoi allegati perché il Garante per la protezione dei dati personali può adottare provvedimenti che assumono valore normativo.25 giugno Provider) 200991 25 giugno 2009 Modifiche del provvedimento del 27 novembre Sì 2008 recante prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema e proroga dei termini per il loro adempimento . Di seguito riportiamo.it/garante/doc. Lezione 2 – Unità didattica 2.garanteprivacy.it/garante/navig/jsp/index.garanteprivacy. L’elenco completo88 dei provvedimenti è disponibile presso il sito del Garante. in ordine cronologico90. pubblica linee guida.5 2008 trattamenti effettuati con strumenti elettronici della Lezione 1 relativamente alle attribuzioni delle funzioni di amministratore di sistema 27 novembre Semplificazione delle misure di sicurezza Sì 2008 contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali 88 http://www. modelli o anticipa contenuti su iniziative legislative in corso.25 giugno 200992 12 marzo 2009 Prescrizioni ai titolari di banche dati costituite Sì sulla base di elenchi telefonici formati prima del 1° agosto 2005 a seguito della deroga introdotta dall'art. spesso il Garante.jsp?ID=1592067 90 Scritto in data 5 ottobre 2009 91 http://www. n.jsp?ID=1629107 92 http://www. i provvedimenti e le “pubblicazioni” più importanti che approfondiremo nei moduli di questa unità didattica.jsp?ID=1598808 84 Creative Commons Attribuzione . 207/2008 .2.12 marzo 200993 24 dicembre Misure e accorgimenti prescritti ai titolari dei Sì Modulo 1. Inoltre. Data Argomento Obbligatorio Nota 25 giugno 2009 Prescrizioni ai fornitori di servizi di Sì Solo per gli comunicazione elettronica accessibili al pubblico ISP (Internet Service che svolgono attività di profilazione .it/garante/doc.5 Italia License .it/garante/doc. Il 24 febbraio 2009 il Garante per la protezione dei dati personali ha predisposto sul proprio sito una nuova area “Indice per materia”89che raccoglie i principali provvedimenti dell'Autorità suddivisi per materia e affianca quella cronologica. 44 d.jsp?folderpath=Provvedimenti 89 http://www.garanteprivacy.garanteprivacy.Non commerciale 2.

207 del 2008 30 dicembre 2008 (articolo 44 ) 13 ottobre 2008 Rifiuti di apparecchiature elettriche ed Sì elettroniche (Raae) e misure di sicurezza dei dati personali95 gennaio 2008 Sicurezza dei dati di traffico telefonico e Sì telematico96 settembre 2003 Comunicato stampa del Garante del 3 settembre Sì 2003 che sintetizza chiaramente il quadro di riferimento per le comunicazioni commerciali indesiderate (spamming)97 94 http://www.garanteprivacy.garanteprivacy.it/guridb/dispatcher?service=1&datagu=2008-12-31&task=dettaglio&numgu=304&redaz=008G0232&tmstp=1231080653127 95 http://www.jsp?ID=1482111 97 http://www.jsp?ID=1571960 96 http://www.2 novembre 2007 Banche: la ”Guida'' del Garante privacy per l'uso No dei dati dei clienti” luglio 2007 Privacy e pubblico impiego: le linee guida del No Garante marzo 2007 Linee guida del Garante per posta elettronica e No internet novembre 2006 Linee guida del Garante per il trattamento dei No dati dei dipendenti privati ottobre 2005 Impronte digitali ed altri sistemi biometrici Sì aprile 2004 Videosorveglianza Sì Altri provvedimenti e pubblicazioni di rilievo (che non approfondiremo) sono: Data Argomento Obbligatorio Nota 30 dicembre Inasprimento delle sanzioni privacy94 Sì D.it/garante/doc.jsp?ID=272444 85 Creative Commons Attribuzione . n.5 Italia License .gazzettaufficiale.it/garante/doc.Non commerciale 2.L.it/garante/doc.garanteprivacy. Lezione 2 – Unità didattica 2.

2. 86 Creative Commons Attribuzione .2 – I nuovi adempimenti per le funzioni di “amministratore di sistema” Questo argomento è già stato affrontato nel “Modulo 1.3.5 – I nuovi adempimenti per le funzioni di “amministratore di sistema”” della Lezione 1.5 Italia License .3. Lezione 2 – Unità didattica 2.Non commerciale 2. Esempi pratici di applicazione nel “Modulo 3.2 Modulo 2.4 – Le verifiche sull’amministratore di sistema” della Lezione 3.

it/parlam/leggi/decreti/08112d.camera.2. • designazione degli incaricati.4 della Lezione 1). In sintesi le semplificazioni riguardano: • informativa. i titolari possono: • fornire un'unica informativa per il complesso dei trattamenti. • fornire a questi ultimi una ricostruzione organica dei trattamenti e con linguaggio semplice.it/garante/doc. 287 del 9 dicembre 2008 (questo argomento è già stato affrontato nel modulo 1.3 – Semplificazioni degli adempimenti Tra giugno e dicembre 2008 si sono susseguite una serie di “semplificazioni” in relazione agli adempimenti privacy: • semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali . Lezione 2 – Unità didattica 2. Informativa Sulla base delle nuove disposizioni. liberi professionisti e artigiani.27 novembre 2008 - G. Tale decreto ha messo in atto quanto anticipato dal Garante il 19 giugno 200899 in relazione ad una serie di significative semplificazioni degli adempimenti per l'intero settore pubblico e privato ed in particolare nei riguardi di piccole e medie imprese. n.Gazzetta Ufficiale 1° luglio 2008. Semplificazioni degli adempimenti per le PMI del giugno 2008 Il Decreto Legge 25 giugno 2008 n. • semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrative e contabili .Non commerciale 2. anziché per singoli aspetti del rapporto con gli interessati. • comunicazioni pubblicitarie. 98 http://www. senza frammentarla o reiterarla inutilmente.19 giugno 2008 . • consenso.5 Italia License . • notificazione dei trattamenti.11298 ha abrogato l’obbligo della redazione del Documento Programmatico sulla sicurezza (DPS) per tutte le aziende che non trattano dati sensibili o che trattano solo dati sensibili inerenti salute e malattia dei propri dipendenti. • indicare le informazioni essenziali in un quadro adeguato di lealtà e correttezza.U. 152.jsp?ID=1526724 87 Creative Commons Attribuzione .htm 99 http://www.garanteprivacy.3. senza indicazione della diagnosi. n.2 Modulo 2.

) Se è prevista la raccolta di dati presso terzi è possibile formulare una sola informativa per i dati forniti direttamente dall'interessato e per quelli che saranno acquisiti presso terzi. le principali caratteristiche del trattamento. disponibile agevolmente senza oneri per gli interessati. Comunicazioni pubblicitarie In applicazione del principio del bilanciamento degli interessi (art.. messaggi preregistrati disponibili digitando un numero telefonico gratuito). • utilizzare per l'informativa. anche oralmente. l'informativa può non essere fornita quando vi è un obbligo normativo di trattarli (art. Se il titolare del trattamento è un soggetto pubblico devono essere inserite le indicazioni che la legge prevede per i dati sensibili e giudiziari. comma 1. 24 e 154. affissioni in bacheche o locali. Lezione 2 – Unità didattica 2. • è invece necessario fornire un'informativa specifica o ad hoc quando il trattamento ha caratteristiche del tutto particolari perché coinvolge. avvisi e cartelli agli sportelli per la clientela.Non commerciale 2. nel quadro del perseguimento di ordinarie finalità amministrative e contabili.2 • redigere. per quanto possibile.5 Italia License . comma 2. anche in relazione all'adempimento di obblighi contrattuali. rispetto a determinate forme di uso di dati biometrici o di controllo delle attività dei lavoratori). All'interessato. individuando i trattamenti di dati e le relative modalità che sono consentiti all'unità cui sono addetti gli incaricati stessi (art. 13. 2. 30 del Codice). lett. ordinariamente. commi 2 e 4).. (. per finalità amministrative e contabili. in luoghi e con modalità facilmente accessibili anche con strumenti informatici e telematici (in particolare. lett. Inoltre: • l'informativa breve può rinviare a un testo più articolato. o può comportare rischi specifici per gli interessati (ad esempio. gli spazi utili nel materiale cartaceo e nella corrispondenza che si impiegano già. 24. c). g). dati genetici) o prevede forme inusuali di utilizzazione di dati. 13. specie per quella breve. possono utilizzare senza il consenso i recapiti (oltre che di posta elettronica come già previsto per legge) di 88 Creative Commons Attribuzione . • è opportuno che l'informativa più articolata sia basata su uno schema tendenzialmente uniforme per il settore di attività del titolare del trattamento. peculiari informazioni (es. tramite reti Intranet o siti Internet. del Codice ha invitato tutti i titolari del trattamento pubblici e privati a non chiedere il consenso degli interessati quando il trattamento dei dati è svolto. Designazione incaricati Il Garante ha richiamato l'attenzione dei titolari del trattamento sulla circostanza che la designazione degli incaricati del trattamento può avvenire in modo semplificato evitando singoli atti circostanziati relativi distintamente a ciascun incaricato. ad esempio. o sono relativi allo svolgimento di attività economiche o sono trattati da un soggetto pubblico. Per questi ultimi dati. con immediatezza. comma 1. esclusivamente per correnti finalità amministrative e contabili. andrebbero indicate sinteticamente alcune prime notizie chiarendo subito. precontrattuali o normativi. una prima informativa breve. nonché quando i dati provengono da pubblici registri ed elenchi pubblici conoscibili da chiunque. comma 5). rispetto alle ordinarie esigenze amministrative e contabili. il Garante ha disposto che i titolari del trattamento in ambito privato che hanno venduto un prodotto o prestato un servizio. • è possibile non inserire nell'informativa più articolata gli elementi noti all'interessato (art. Consenso Il Garante ai sensi degli artt. specie sensibili.

inizialmente o in occasione di successive comunicazioni. • l'interessato. ai fini dell'invio diretto di proprio materiale pubblicitario o di propria vendita diretta o per il compimento di proprie ricerche di mercato o di comunicazione commerciale. Ciò. così adeguatamente informato già prima dell'instaurazione del rapporto. a condizione che: • tale attività promozionale riguardi beni e servizi del medesimo titolare e analoghi a quelli oggetto della vendita.Non commerciale 2. in maniera agevole e gratuitamente. al momento della raccolta e in occasione dell'invio di ogni comunicazione effettuata per le menzionate finalità. Notificazioni dei trattamenti Il Garante ha ricordato che la notificazione telematica al Garante non è necessaria per perseguire finalità amministrative e contabili. anche mediante l'utilizzo della posta elettronica o del fax o del telefono e di ottenere un immediato riscontro che confermi l'interruzione di tale trattamento (art. 7.5 Italia License . 37 Codice) 89 Creative Commons Attribuzione . web n. 24 febbraio 2005.2 posta cartacea forniti dall'interessato. 1103045). doc. salvo che per eventuali casi eccezionali indicati per legge (art. non si opponga a tale uso. comma 4). sia informato della possibilità di opporsi in ogni momento al trattamento. Lezione 2 – Unità didattica 2. rispettando anche le garanzie previste per le attività di profilazione degli interessati (Provv. • l'interessato medesimo.

gli obblighi di riservatezza da rispettare.5 Italia License . registrazioni telefoniche.2. Il provvedimento affronta diversi aspetti che regolano il rapporto tra banca e cliente: i casi specifici nei quali è lecito comunicare a terzi informazioni bancarie.2 Modulo 2. le modalità con le quali le banche devono soddisfare le richieste di accesso dei clienti ai propri dati personali o quelle per informarli sull'uso che viene fatto di questi dati.Non commerciale 2. operazioni di cessione di sportelli). • le informazioni dei clienti trattati dalle banche devono essere sempre esatte ed aggiornate. il Garante ha stabilito. • nel caso in cui dare l'informativa singolarmente a ciascun cliente comporti un impiego sproporzionato di mezzi (es. A tutela dei clienti.4 – Banche: la “guida” del Garante per l'uso dei dati dei clienti Il 25 ottobre 2007 il Garante ha emesso provvedimento a carattere generale che fissa le garanzie per il corretto uso dei dati personali dei clienti da parte degli istituti bancari e degli operatori postali. nella copia dei documenti da consegnare al cliente devono essere oscurati). È necessario adottate misure di sicurezza contro alterazione o uso indebito del contenuto delle conversazioni. la banca può assolvere tale obbligo pubblicando l'informativa sulla Gazzetta Ufficiale. che: • le comunicazioni di informazioni bancarie a terzi devono essere effettuate solo nei casi espressamente previsti dalla legge. • il personale deve evitare le telefonate e i colloqui ad alta voce con la clientela e occorre predisporre distanze di cortesia agli sportelli. 90 Creative Commons Attribuzione . ma non quelli riferiti ad altre persone (se presenti. coniuge. ma devono informare gli interessati. quando operano nell'ambito bancario e finanziario. professionisti legati da una rapporto di lavoro) ad effettuare operazioni per suo conto o a conoscere il tipo di rapporto intrattenuto con la banca. Lezione 2 – Unità didattica 2. dal Codice della privacy o nel caso in cui sia l'interessato ad autorizzare terzi (familiari. • il cliente ha diritto a ottenere la comunicazione in forma intelligibile dei dati che lo riguardano (comprese operazioni effettuate. in particolare. ordini di investimento). • le banche possono registrare le telefonate effettuate dalla clientela per dare particolari ordini e istruzioni o nei servizi di “telephone banking”.

jsp?ID=1417809 91 Creative Commons Attribuzione .2 Modulo 2. Di seguito i punti principali del provvedimento. l'aggiornamento e la pertinenza dei dati pubblicati in rete e garantire il "diritto all'oblio". codice fiscale ecc. denunce di infortunio all'Inail. Lezione 2 – Unità didattica 2.5 – Privacy e pubblico impiego: le “linee guida” del Garante Le “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico”100 del 14 giugno 2007 contengono le misure e gli accorgimenti che il Garante ha individuato nel quadro dei rapporti di lavoro in ambito pubblico. Se il lavoratore produce documentazione in cui è presente anche la diagnosi. Il Garante può autorizzare l'attivazione di tali sistemi di rilevazione solo in presenza di particolari esigenze (aree adibite alla sicurezza dello Stato.5 Italia License . iride) per controllare le presenze o gli accessi sul luogo di lavoro. l'amministrazione deve adottare forme di comunicazione con il dipendente protette e individualizzate: inoltrando le note in busta chiusa.2.garanteprivacy. • Assenze per malattia. 100 http://www. certificati e visite mediche: in caso di assenza per malattia all'amministrazione vanno consegnati certificati medici privi di diagnosi e con la sola indicazione dell'inizio e della durata dell'infermità. • Comunicazioni tra amministrazione e lavoratore: per prevenire la conoscenza ingiustificata di dati da parte di persone non autorizzate. no ad archivi centralizzati. torri di controllo. conservazione di oggetti di particolare valore) e con precise garanzie (verifica preliminare dell'Autorità.) É sempre vietata la diffusione di informazioni sulla salute del lavoratore o dei familiari interessati. • Diffusione dei dati in Internet: le amministrazioni devono assicurare l'esattezza. l'ufficio deve astenersi dall'utilizzare queste informazioni e deve invitare il personale a non produrre altri certificati con le stesse caratteristiche. Particolari cautele devono essere adottate dall'ente pubblico quando tratta dati sulla salute dei dipendenti nei casi di visite medico legali. Nelle graduatorie relative a concorsi o selezioni vanno riportati solo dati pertinenti (elenchi nominativi abbinati ai risultati. codice cifrato dell'impronta memorizzato solo nel badge del dipendente). inviandole all'e-mail personale o invitandolo a ritirare personalmente la documentazione. Tali “Linee guida” seguono quelle già adottate di recente per i lavoratori privati.Non commerciale 2. no a recapiti telefonici. cioè una tutela dinamica della riservatezza delle persone (trascorso un certo periodo dalla pubblicazione è opportuno spostare i nominativi in un parte del sito dove non siano più rintracciabili dai motori di ricerca esterni). abilitazioni al porto d'armi e alla guida.it/garante/doc. • Dati biometrici dei lavoratori pubblici: anche nell'ambito del pubblico impiego non è consentito un uso generalizzato dei dati biometrici dei dipendenti (impronte digitali. elenchi di ammessi alle prove scritte o orali.

Il provvedimento raccomanda l'adozione da parte delle aziende di un disciplinare interno. L'Autorità prescrive innanzitutto ai datori di lavoro di informare con chiarezza e in modo dettagliato i lavoratori sulle modalità di utilizzo di Internet e della posta elettronica e sulla possibilità che vengano effettuati controlli. urp@ente. • metta in grado il dipendente di delegare un altro lavoratore (fiduciario) a verificare il contenuto dei messaggi a lui indirizzati e a inoltrare al titolare quelli ritenuti rilevanti per l'ufficio. definito coinvolgendo anche le rappresentanze sindacali.2. si potrebbe passare a controlli su base individuale.2 Modulo 2.it. In prima battuta si dovranno effettuare verifiche di reparto.it/garante/doc. ufficioreclami@ente. è opportuno che l'azienda: • renda disponibili anche indirizzi condivisi tra più lavoratori (info@ente. come ad esempio i giornalisti. • utilizzare filtri che prevengano determinate operazioni.garanteprivacy. Il datore di lavoro è inoltre chiamato ad adottare ogni misura in grado di prevenire il rischio di utilizzi impropri. ripetendosi l'anomalia.Non commerciale 2. in modo da individuare l'area da richiamare all'osservanza delle regole.jsp?ID=1387522 92 Creative Commons Attribuzione . Per quanto riguarda la posta elettronica. quali l'accesso a siti inseriti in una sorta di black list o il download di file musicali o multimediali.6 – Linee guida del Garante per posta elettronica e internet Le “Linee guida” del Garante per posta elettronica e internet101 del marzo 2007 forniscono concrete indicazioni in ordine all'uso dei computer sul luogo di lavoro. messaggi di risposta automatica con le coordinate di altri lavoratori cui rivolgersi. prevista solo in casi limitatissimi. Il Garante ha chiesto infine particolari misure di tutela in quelle realtà lavorative dove debba essere rispettato il segreto professionale garantito ad alcune categorie. Solo successivamente. di ufficio. • preveda. Il Garante vieta poi la lettura e la registrazione sistematica delle e-mail così come il monitoraggio sistematico delle pagine web visualizzate dal lavoratore. gli eventuali controlli da parte del datore di lavoro devono essere effettuati con gradualità.it). Per quanto riguarda Internet è opportuno ad esempio: • individuare preventivamente i siti considerati correlati o meno con la prestazione lavorativa. Qualora queste misure preventive non fossero sufficienti a evitare comportamenti anomali. destinato ad un uso personale. rendendo così chiara la natura non privata della corrispondenza. in caso di assenza del lavoratore.it. così da ridurre controlli successivi sui lavoratori. perché ciò realizzerebbe un controllo a distanza dell'attività lavorativa vietato dallo Statuto dei lavoratori. 101 http://www. nel quale siano chiaramente indicate le regole per l'uso di Internet e della posta elettronica. di gruppo di lavoro. Viene inoltre indicata tutta una serie di misure tecnologiche e organizzative per prevenire la possibilità. dell'analisi del contenuto della navigazione in Internet e dell'apertura di alcuni messaggi di posta elettronica contenenti dati necessari all'azienda. Lezione 2 – Unità didattica 2.5 Italia License . • valuti la possibilità di attribuire al lavoratore un altro indirizzo (oltre quello di lavoro). ciò in caso di assenza prolungata o non prevista del lavoratore interessato e di improrogabili necessità legate all'attività lavorativa.

bacheche aziendali Nelle aziende private può essere eccessivo indicare sul cartellino identificativo del dipendente dati anagrafici o generalità: a seconda dei casi può bastare un codice identificativo o il solo nome o solo il ruolo professionale. 102 http://www. per presidiare. Questi in sintesi i punti principali delle linee guida. turni lavorativi o feriali.Il datore di lavoro non può accedere alle cartelle sanitarie dei dipendenti sottoposti ad accertamenti dal medico del lavoro. Dati sanitari I dati sanitari vanno conservati in fascicoli separati.Non commerciale 2.5 Italia License .2 Modulo 2. Il consenso è necessario anche per pubblicare informazioni personali (foto. Il lavoratore assente per malattia è tenuto a consegnare al proprio ufficio un certificato senza la diagnosi ma con la sola indicazione dell'inizio e della durata presunta dell'infermità.garanteprivacy. Entro 15 giorni dalla richiesta il datore di lavoro è tenuto a comunicare in modo chiaro tutte le informazioni in suo possesso Cartellini identificativi. Nel caso di denuncia di infortuni o malattie professionali all'Inail. il datore di lavoro deve limitarsi a comunicare solo le informazioni connesse alla patologia denunciata. Non si possono invece diffondere emolumenti percepiti. assenze per malattia.7 – Linee guida per il trattamento di dati dei dipendenti privati Con le “Linee-guida per il trattamento di dati dei dipendenti privati”102 del novembre 2006 il Garante ha definito. documenti riservati). Anche quando l'uso è consentito non è ammessa la costituzione di banche dati centralizzate: è infatti sufficiente la memorizzazione su una smart card in uso esclusivo del dipendente. parenti. aggiornamento. Lezione 2 – Unità didattica 2. Dati biometrici Non è lecito l'uso generalizzato e incontrollato di dati biometrici. misure ed accorgimenti per disciplinare la raccolta e l'uso dei dati personali nella gestione del rapporto di lavoro. cancellazione etc). Principi generali Il datore di lavoro può trattare informazioni di carattere personale strettamente indispensabili per dare esecuzione al rapporto di lavoro.2. accessi ad "aree sensibili" (processi produttivi pericolosi. Intranet. locali destinati a custodia di beni. Deve individuare il personale che può trattare tali dati e assicurare idonee misure di sicurezza per proteggerli da indebite intrusioni o illecite divulgazioni. familiari. Senza consenso non si possono comunicare informazioni ad associazioni di datori di lavoro. curricula) nella Intranet aziendale e a maggior ragione in Internet.jsp?ID=1364099 93 Creative Commons Attribuzione . per la prima volta in un quadro unitario.it/garante/doc. L'uso può essere giustificato solo in casi particolari. ad esempio. Nella bacheca aziendale possono essere affissi solo ordini di servizio. adesione ad associazioni. Il lavoratore deve essere informato in modo puntuale sull'uso che verrà fatto dei suoi dati e gli deve essere consentito di esercitare agevolmente i diritti che la normativa sulla privacy gli riconosce (accesso ai dati. rettifica. specie se ricavati dalle impronte digitali. sanzioni disciplinari. di ex dipendenti o a conoscenti.

5 Italia License .2 Modulo 2.it/garante/doc.it/garante/doc. provvedimento del 27 ottobre 2005104 sulla rilevazione di impronte digitali in combinazione con trattamenti di immagini. eventualmente associabile all'immagine a seguito di decrittazione effettuata dall'autorità giudiziaria) nel rispetto di alcune imprescindibili garanzie per gli interessati individuati dal provvedimento.garanteprivacy.jsp?ID=39704 104 http://www. I principi fissati dal Garante sono: • l'utilizzo generalizzato ed indiscriminato di sistemi che consentono l'identificazione degli interessati mediante la combinazione di diversi sistemi di rilevazione dati non è consentito 103 http://www.jsp?ID=1246675 106 http://www. parere del 28 settembre 2001103 “Videosorveglianza e dati biometrici .jsp?ID=1246675 105 http://www.8 – Impronte digitali e altri sistemi biometrici I provvedimenti più importanti in tale ambito sono: 1. e a fronte di eccezionali ed acclarate situazioni di rischio inerenti alla specificità della realtà bancaria. 2.it/garante/doc.Non commerciale 2. tenuto conto di quanto già indicato nel provvedimento generale 29 aprile 2004 sulla videosorveglianza 106 e nel provvedimento del 28 settembre 2001 relativo alle rilevazioni biometriche107 presso gli istituti di credito. Lezione 2 – Unità didattica 2. consentono una temporanea installazione di detti sistemi (rilevazione automatica di una impronta digitale.2.Rilevazioni biometriche presso istituti di credito”. Provvedimento del 27 ottobre 2005 sulla rilevazione di impronte digitali in combinazione con trattamenti di immagini Il provvedimento.garanteprivacy.jsp?ID=1003482 107 http://www. fissa altresì alcune condizioni che in attesa di un puntuale intervento legislativo. mira ad individuare le misure e gli accorgimenti a garanzia degli interessati che dovranno essere posti in essere da tutti gli istituti di credito operanti sul territorio nazionale che intendano avvalersi di sistemi di rilevazione di impronte digitali combinati ad altri sistemi (immagini). il Garante nel ribadire il proprio orientamento circa il divieto di utilizzazione generalizzata di sistemi di rilevazione biometrica all'ingresso delle banche. Parere del 28 settembre 2001 “Videosorveglianza e dati biometrici - Rilevazioni biometriche presso istituti di credito” Fonte immagine105 In questo parere.jsp?ID=39704 94 Creative Commons Attribuzione .garanteprivacy. Tali condizioni sono ribadite e chiarite nel successivo provvedimento del 2005 a cui rimandiamo.it/garante/doc.garanteprivacy.it/garante/doc.garanteprivacy.

sulla base di un procedimento alternativo basato anche su un'identificazione del cliente eventualmente necessaria. ma chiare e senza ambiguità.nel caso di specie. oppure di eventi criminosi verificatisi o. o il Garante ha individuato un modello di informativa “minima” che i titolari del trattamento potranno utilizzare in corrispondenza dei varchi di accesso alle strutture della banca. biometrici . prima della loro registrazione in una banca dati comunque configurata. del Codice. ai sensi dell'art. comunque. Lezione 2 – Unità didattica 2. • conservazione dei dati: o i dati cifrati relativi alle impronte e alle eventuali immagini devono essere conservati per un periodo non superiore ad una settimana e devono essere registrati cronologicamente in modo tale da consentire il loro pronto reperimento anche sulla base di un' opportuna organizzazione per giorni di rilevazione. del personale dipendente degli istituti di credito e della clientela). g). o l'informativa deve fornire gli elementi previsti dal Codice (art. resta fermo che la banca. ancora.in rapporto alle finalità che si intende perseguire (art. • altri adempimenti: o resta l'obbligo di notificare al Garante il trattamento dei dati secondo le modalità previste (art. • informativa: o gli interessati devono essere informati adeguatamente della presenza dei sistemi di acquisizione delle impronte digitali e dell'associazione di queste ultime con immagini raccolte (art. per evitare errori di identificazione. 13) anche con formule sintetiche.5 Italia License . di una richiesta da parte dell'autorità giudiziaria. dovrà inoltrare Garante. comma 1. • misure di sicurezza: o i sistemi per la raccolta delle immagini (fisse o in movimento) e delle impronte digitali devono prevedere l'immediata cifratura dei dati. lett. lett. comma 1. • consenso: o il trattamento dei dati personali è da ritenersi lecito anche in assenza del consenso degli interessati. che dovrà essere integrato con un'informativa più ampia esposta all'interno della dipendenza bancaria.Non commerciale 2..2 in quanto contrasta con il principio di necessità che impone di configurare i sistemi informativi e i programmi informatici escludendo il trattamento di dati personali non necessari . ciò. 13 del Codice). una specifica richiesta di 95 Creative Commons Attribuzione . 3 del Codice). 37. evitandone l'automatica cancellazione alla scadenza del periodo di conservazione previsto. deve essere ben evidenziata la libertà di accedere in banca senza consentire il rilevamento dell'impronta digitale. prima dell'accesso a varchi a doppia porta o bussole. in presenza di una richiesta di accesso da parte dell'interessato. prima che i dati siano rilevati e. o ogni istituto di credito che intenda installare nuove apparecchiature. o deve essere assicurata l'associazione univoca tra le immagini e le impronte digitali. • tale trattamento di tali dati personali è consentito. oppure modificare quelle esistenti. 24. e devono garantire un livello elevato di sicurezza. con l'osservanza di adeguate garanzie. soltanto quando debba essere perseguita l'esclusiva finalità di elevare il grado di sicurezza di beni e persone (segnatamente. potrà assicurare la disponibilità dei dati raccolti. a) del Codice). o devono essere predisposti meccanismi di integrale cancellazione automatica delle informazioni allo scadere del termine previsto.

anche in previsione di verifiche disposte da questa Autorità. • l'indicazione del tempo massimo di conservazione dei dati.2 verifica preliminare108 utilizzando i modelli riprodotti in allegato109. la seguente documentazione: a) copia della richiesta di verifica preliminare inviata al Garante. o presso ogni sportello bancario dovrà essere comunque conservata e tenuta aggiornata.garanteprivacy. dal quale risulti la conformità dei medesimi alle condizioni indicate nel presente provvedimento. e) documentazione dalla quale si possano desumere le modalità alternative di accesso alla struttura della banca. con particolare riguardo alle fasi del processo crittografico. 108 http://www.5 Italia License .garanteprivacy. d) copia dell'informativa resa alla clientela. a tal fine potrà essere effettuata un'unica comunicazione riguardante tutti gli sportelli della banca. prima dell'inizio del trattamento. • le caratteristiche dell'impianto di raccolta del dato biometrico. b) eventuale documentazione dalla quale si possa desumere l'esistenza di condizioni di rischio concreto dello sportello. dalla medesima devono evincersi: • le caratteristiche dell'impianto di ripresa (ad esempio. c) documentazione tecnica relativa all'installazione dei sistemi biometrici e di videosorveglianza adottati.jsp?ID=1247352 109 http://www. indicando l'elenco di quelli per i quali intende attivare i dispositivi menzionati e le condizioni di concreto rischio poste a fondamento della loro installazione valutate in rapporto alle altre misure adottabili.Non commerciale 2. localizzazione della/e telecamera/e con l'indicazione delle caratteristiche tecniche). • le caratteristiche del sistema informatico di gestione delle immagini e dei dati biometrici. 17 del Codice.it/garante/doc. Lezione 2 – Unità didattica 2.jsp?ID=1246675#Allegato 96 Creative Commons Attribuzione . verifica da svolgere una tantum ai sensi dell'art.it/garante/doc.

In presenza di più telecamere.garanteprivacy. deve essere informato che sta per accedere o che si trova in una zona videosorvegliata e dell’eventuale registrazione. Se i sistemi di videosorveglianza prevedono la raccolta delle immagini collegata e/o incrociata e/o confrontata con altri particolari dati personali (ad esempio dati biometrici) oppure con codici identificativi di carte elettroniche o con dispositivi che rendono identificabile la voce è necessaria una autorizzazione preliminare da parte del Garante. L’informativa è sempre necessaria. atti di vandalismo. Il Garante ha predisposto un modello semplificato di informativa minima sotto forma di “cartello” con un simbolo ad indicare l’area video sorvegliata. prevenzione incendi.it/garante/doc. sulla base delle prescrizioni indicate dal Garante.jsp?ID=1006052 97 Creative Commons Attribuzione . Le regole variano a seconda che le immagini siano registrate o meno. Qui ci limitiamo al riepilogo delle disposizioni più importanti. Chiunque transiti in una zona soggetta a videosorveglianza. Al tema della videosorveglianza è dedicata l’intera lezione 4.garanteprivacy. questo cartello deve essere chiaramente visibile ed indicare chi effettua la rilevazione delle immagini e per quali scopi.2.Non commerciale 2.2 Modulo 2. furti. sicurezza del lavoro ecc. 110 http://www.jsp?ID=1003482 112 http://www. Si possono installare telecamere senza il consenso degli interessati.garanteprivacy. danneggiamenti. rapine. vanno installati più cartelli.5 Italia License . in relazione alla vastità dell’area e alle modalità delle riprese. Il Garante ha inoltre pubblicato il 20 maggio 2004 una "guida alla videosorveglianza"112 che sintetizza i contenuti del più ampio provvedimento del 29 aprile.it/garante/doc.jsp?ID=1003482 111 http://www. quindi anche un semplice cittadino.9 – Videosorveglianza fonte immagine110 Tra i provvedimenti più importanti va ricordato il provvedimento generale 29 aprile 2004 sulla videosorveglianza 111 che fissa le regole da seguire quando si adottano sistemi di video sorveglianza. quando chi intende rilevare le immagini deve perseguire un interesse legittimo a fini di tutela di persone e beni rispetto a possibili aggressioni. Lezione 2 – Unità didattica 2.it/garante/doc.

2.i dati personali memorizzati. filmati. Questo innanzitutto allo scopo di non esporsi e non esporre altri a rischi anche gravi.una volta che l'utente abbia eliminato 113 http://www.it/garante/doc. rimangano in memoria nomi. 30 dicembre 2008113 (D.2 Modulo 2. 17 gennaio 2008115.jsp?ID=272444 98 Creative Commons Attribuzione . 13 ottobre 2008114 • Sicurezza dei dati di traffico telefonico e telematico.jsp?ID=1571960 115 http://www. foto. Da oggi in poi.anche con l'aiuto degli stessi rivenditori o se proprio necessario di tecnici specializzati . al momento di dismettere apparecchiature elettriche ed elettroniche (anzitutto pc. articolo 44 ) • Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali.gazzettaufficiale. rubriche telefoniche. anche di tipo sensibile come quelli sanitari.garanteprivacy.10 – Altri provvedimenti e pubblicazioni Altri provvedimenti significativi sono: • Inasprimento delle sanzioni privacy.L.6 della Lezione 1 Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali Il Garante ha messo a punto una serie di indicazioni per evitare che. Inasprimento delle sanzioni privacy Questo argomento è stato affrontato nel modulo 1. ma anche cd rom o dvd).3. ma anche aziende pubbliche che intendono dismettere il proprio “usato” o consegnarlo ai punti di raccolta per lo smaltimento dovranno preoccuparsi di cancellare in maniera definitiva .it/garante/doc. numero di conto bancario. professionisti. Misure tecniche preventive È bene proteggere i file usando una password di cifratura.Non commerciale 2.5 Italia License . dati personali in generale. come ad esempio la manipolazione di dati e il furto di identità. • Comunicato stampa del Garante del 3 settembre 2003 che sintetizza chiaramente il quadro di riferimento per le comunicazioni commerciali indesiderate (spamming)116. privati cittadini.it/guridb/dispatcher?service=1&datagu=2008-12-31&task=dettaglio&numgu=304&redaz=008G0232&tmstp=1231080653127 114 http://www. oppure memorizzare i dati su hard disk o su altri supporti magnetici usando sistemi di cifratura automatica al momento della scrittura. n. ma anche a terzi.garanteprivacy.jsp?ID=1482111 116 http://www. riferiti non solo all'utilizzatore.garanteprivacy. Misure tecniche di cancellazione sicura La cancellazione sicura delle informazioni su disco fisso o su altri supporti magnetici è ottenibile con programmi informatici di “riscrittura” che provvedono .it/garante/doc. 207 del 30 dicembre 2008. indirizzi mail. Lezione 2 – Unità didattica 2.

• Sistemi di autorizzazione • Tracciamento dell'attività del personale incaricato. Smaltimento di rifiuti elettrici ed elettronici Per la distruzione degli hard disk e di supporti magnetici non riscrivibili. in grado di garantire la cancellazione rapida delle informazioni.a scrivere ripetutamente nelle aree vuote del disco. • Cancellazione dei dati. Qui possiamo sintetizzare l’argomento riassumendo quanto dice il Garante nel comunicato stampa del 3 settembre. Inviare e-mail pubblicitarie senza il consenso del destinatario è vietato dalla legge. la reclusione. 99 Creative Commons Attribuzione . Sicurezza dei dati di traffico telefonico e telematico Il provvedimento fissa le regole di base per la messa in sicurezza dei dati del traffico telefonico e di Internet. con l'uso del “cestino” o con comandi di cancellazione) . • Controlli interni. Lezione 2 – Unità didattica 2. • Accesso ai locali. conservati dai gestori per finalità di accertamento e repressione dei reati e per le altre finalità ammesse dalla normativa. Le prescrizioni impartite riguardano in particolare i seguenti ambiti: • Accesso ai dati. nei casi più gravi. Comunicato stampa del Garante del 3 settembre 2003 sulle comunicazioni commerciali indesiderate (spamming) L’argomento “spamming” è affrontato più in dettaglio nella lezione 5 “Marketing e comunicazioni commerciali”. Sono previste varie sanzioni e. La normativa sulla privacy non permette di utilizzare indirizzi di posta elettronica per inviare messaggi indesiderati a scopo promozionale o pubblicitario anche quando si omette di indicare in modo chiaro il mittente del messaggio e l’indirizzo fisico presso il quale i destinatari possono rivolgersi per chiedere che i propri dati personali non vengano più usati.2 dei file dall'unità disco con i normali strumenti previsti dai sistemi operativi (ad es. • Conservazione separata dei dati.Non commerciale 2. è consigliabile l'utilizzo di sistemi di punzonatura o deformazione meccanica o di demagnetizzazione ad alta intensità o di vera e propria distruzione fisica.5 Italia License . è effettuata a fini di profitto si viola anche una norma penale e il fatto può essere denunciato all’autorità giudiziaria. • Sistemi di cifratura. come cd rom e dvd.. se questa attività. specie se sistematica. Si possono anche utilizzare sistemi di formattazione a basso livello degli hard disk o di “demagnetizzazione”.

di videosorveglianza è L’informativa va data L’informativa va data In caso di necessaria solo nel solo se le immagini in ogni caso. non a dipendenti privati misure ed quello privato. Falso. Se non vi registrate. Lezione 2 – Unità didattica 2. Vero. Falso. Falso. pubblicato le proprie L'Autorità prescrive ai L'Autorità prescrive ai Il documento più volte linee guida per la posta datori di lavoro di datori di lavoro di annunciato non è stato elettronica ed Internet informare con informare con ancora pubblicato. chiarezza e in modo chiarezza e in modo dettagliato i lavoratori dettagliato i lavoratori sulle modalità di sulle modalità di utilizzo di Internet e utilizzo di Internet e della posta elettronica della posta elettronica e sulla possibilità che ma vieta che vengano vengano effettuati effettuati controlli. Mancano però le Con tale Le linee guida del guida per il analoghe linee guida provvedimento il 2006 si riferiscono al trattamento di dati dei per il settore pubblico. pubblicato le linee. vanno anche notificati è registrazione di al Garante. Vero.Non commerciale 2.2 Domande di verifica 2.2 Domanda Prima risposta Seconda risposta Terza risposta Nel 2007 il Garante ha Vero. Nel 2006 il Garante ha Vero. Se si videosorveglianza caso che le immagini videoregistrate sono tratta di trattamenti di l’informativa va siano registrate effettivamente videosorveglianza essi sempre data. accorgimenti per disciplinare la raccolta e l'uso dei dati personali nella gestione del rapporto di lavoro.5 Italia License . L’informativa in caso Vero. Vero. 100 Creative Commons Attribuzione .. Garante ha definito settore pubblico. controlli. immagini può essere fornita una informativa minima sotto forma di cartello.

3.1 – Il censimento dei dati personali Modulo 2.3 – I soggetti che effettuano il trattamento Modulo 2.6 – Nomina del responsabile esterno Domande di verifica 2.Non commerciale 2.3.3 101 Creative Commons Attribuzione .3. contitolare o responsabile esterno Modulo 2.3 Lezione 2 – Unità didattica 2.3.3.3.2 – Il censimento dei dati personali – elementi da catalogare Modulo 2.4 – Titolare.5 – Nomina del responsabile interno Modulo 2.5 Italia License .3 – Organizzazione della privacy Modulo 2. Lezione 2 – Unità didattica 2.

con parole semplici. direttamente o attraverso collaborazioni esterne. nonché degli strumenti elettronici impiegati.3 Modulo 2.3. con l’indicazione della natura dei dati e della struttura (ufficio. • Quanto detto si riferisce sia ai trattamenti di dati personali effettuati con strumenti elettronici (sistemi informativi aziendali. Le finalità in questo caso sono le principali attività di business o di supporto al business aziendale.1 – Il censimento dei dati personali Approccio Il censimento dei trattamenti è l’attività più importante per una corretta ed efficace gestione degli adempimenti privacy in azienda. • Con trattamento è opportuno intendere “qualsiasi uso” di dati personali e dunque. In pratica un trattamento è una riga di una tabella ideale comprendente le informazioni richieste dal Garante come nell’esempio di seguito fornito. • La definizione di dato personale è così ampia che conviene partire dal presupposto che tutti i dati e le informazioni che trattiamo in azienda sono personali. si tratta di una definizione logica alla quale devono corrispondere ovviamente i comportamenti (e le elaborazioni) reali svolte in azienda. 102 Creative Commons Attribuzione . la definizione pratica che useremo in questo corso è “utilizzo di dati personali per una attività o finalità nota”. ipod e similia) sia ai trattamenti senza l’ausilio di strumenti elettronici (documenti cartacei vergati a mano o prodotti da strumenti meccanici quali macchine da scrivere e fotocopiatrici o telematici quali fax). Lezione 2 – Unità didattica 2. pc in rete e stand alone per l’office automation e la produttività personale. • Vanno censiti i trattamenti effettuati dal titolare. qual è l’approccio migliore per affrontare tale attività. per quanto detto al punto precedente. in questo caso scegliamo di identificare nel censimento solo il trattamento originario mentre demandiamo ai regolamenti organizzativi e alle misure di sicurezza la gestione delle copie cartacee. qualsiasi utilizzo di qualsiasi dato è un trattamento (compresa la cancellazione o distruzione di informazioni). distribuiti o rielaborati su supporti diversi (ad esempio un elenco di clienti creato dal pc della contabilità.5 Italia License . ecc. Cos’è un trattamento di dati personali? Al di là della definizione formale di trattamento. in modo analogo ci comportiamo per i trattamenti che a partire da una certa fonte vengono poi duplicati. esiste poi una categoria di trattamenti che nasce da elaborazioni con strumenti elettronici e il cui risultato viene poi riprodotto su carta: ad esempio un report di stampa.) interna od esterna operativamente preposta. • Useremo. strumenti mobili quali notebook. Usando l’organigramma (fotografia più o meno aggiornata dell’operatività d’impresa) individua diamo le principali aree di attività e per ciascuna di queste le attività corrispondenti. cellulari evoluti. funzione. Riepiloghiamo.Non commerciale 2. per quanto possibile. subnotebook. poi inviato per posta elettronica alla funzione marketing e da questa stampato in 100 copie per la forza di vendita). il buon senso nei casi non contemplati ai punti precedenti.

Non commerciale 2.3 Modulo 2. dipendenti e/o collaboratori. 117 http://www.c.. gestione del personale. funzione. • Luogo di custodia dei supporti di memorizzazione: indicare il luogo in cui risiedono fisicamente i dati. • Struttura di riferimento: indica la struttura (ufficio.) gli elaboratori sui cui dischi sono memorizzati i dati. le altre principali strutture che concorrono al trattamento anche dall’esterno. CD. • Descrizione degli strumenti elettronici utilizzati: va indicata la tipologia di strumenti elettronici impiegati (elaboratori o p.3.) ed ogni altro supporto rimovibile.5 Italia License . ecc. Elementi minimi • Descrizione sintetica: definizione del trattamento dei dati personali attraverso l’indicazione della finalità perseguita o dell’attività svolta (es. se ritenuto utile. in cui sono contenuti i dati. Uno stesso trattamento può richiedere l’utilizzo di dati che risiedono in più di una banca dati.) e delle categorie di persone cui i dati si riferiscono (clienti o utenti.2 – Il censimento dei dati personali – elementi da catalogare Le norme sulla privacy forniscono indicazioni di principio sugli elementi da catalogare nel censimento dei dati personali.it/garante/document?ID=1007740&DOWNLOAD=true 103 Creative Commons Attribuzione . tra i dati personali. oltre quella che cura primariamente l’attività. fornitura di beni o servizi. per essere completato. Nel seguito noi faremo riferimento alle indicazioni riportate dal Garante nella sua “Guida operativa per redigere il Documento programmatico sulla sicurezza”117 del marzo 2004. centrale o periferica. È possibile usare per il censimento una catalogazione già presente in azienda per altri scopi. comporta l’attività di diverse strutture va indicata. ecc. Ulteriori elementi. o presso quale fornitore di servizi.garanteprivacy. facoltativo. Lezione 2 – Unità didattica 2. fornitori. In tal caso le banche dati potranno essere elencate. Il punto può essere approfondito meglio in occasione di aggiornamenti. sono presenti dati sensibili (S) o giudiziari (G). i luoghi di conservazione dei supporti magnetici utilizzati per le copie di sicurezza (nastri. per favorire un’identificazione univoca e più rapida di ciascun trattamento nella compilazione delle altre tabelle. sistemi informativi più complessi). collegati o meno in una rete locale. eccetera). • Altre strutture che concorrono al trattamento: nel caso in cui un trattamento. • Natura dei dati trattati: indicazione se. ecc. ecc. può essere associato un codice. geografica o Internet. per descrivere gli strumenti • Identificativo del trattamento: alla descrizione del trattamento.) all’interno della quale viene effettuato il trattamento. opzionali. ovvero dove si trovano (in quale sede. anche portatili. • Banca dati: indicare eventualmente la banca dati (ovvero il data base o l’archivio informatico). con le relative applicazioni.

palmare. Le predette informazioni possono essere completate o sostituite da schemi. tabelle.5 Italia License . fornitori Fornitori Contabilità Internet Clienti.Non commerciale 2. terminale non intelligente. Internet. Fatturazione attiva Clienti Contabilità Internet Acquisti e gestione PC collegati in Lan. Società PC collegati in Lan. Natura dei dati Descrizione sintetica del trattati trattamento Altre strutture Struttura (anche esterne) Finalità perseguita Categorie di di che concorrono Descrizione degli o attività svolta interessati S G riferimento al trattamento strumenti utilizzati Personale Risorse Società PC collegati in Lan. Ricerca e Prototipi fornitori Sviluppo PC Stand Alone 104 Creative Commons Attribuzione . Paghe e contributi dipendente X X Umane Software 1 Internet Personale Risorse Società PC collegati in Lan. telefonino. Gestione personale dipendente X X Umane Software 1 Internet Legge 626 e sicurezza del Personale Risorse Società personale dipendente X Umane Sicurezza1 Internet. geografica. Ciclo di produzione fornitori Produzione Software 2 Internet Personale Qualità e Gestione Qualità dipendente Controlli PC collegati in Lan Adempimenti Personale Qualità e Studi legali 1 societari dipendente X Controlli e2 PC collegati in Lan Personale dipendente. visitatori Fornitori Controlli Sorveglianza1 PC collegati in Lan Clienti. Qualità e Società Guardania. Visitatori. Clienti. ecc. • Tipologia di interconnessione: descrizione sintetica e qualitativa della rete che collega i dispositivi d’accesso ai dati utilizzati dagli incaricati: rete locale. PC stand Alone PC collegati in Lan.3 • Tipologia di dispositivi di accesso: elenco e descrizione sintetica degli strumenti utilizzati dagli incaricati per effettuare il trattamento: pc. Lezione 2 – Unità didattica 2. disegni di architettura del sistema informativo o da altri. ecc.

forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento. Lezione 2 – Unità didattica 2. la cui designazione da parte del “titolare del trattamento” è quindi facoltativa. Il titolare del trattamento Il “titolare del trattamento”.) 118 http://www. è la “[. esatti e aggiornati (art.5 Italia License .. per i servizi di postalizzazione..garanteprivacy. 142)”118 Nello svolgimento dell'attività di impresa è normale che vengano trattati dati personali. I dati devono essere pertinenti e non eccedenti rispetto a finalità legittime. Il “titolare del trattamento” è chiamato ad attuare gli obblighi in materia (riassunti nella presente Guida) e. Occorre scegliere persone fisiche od organismi che per esperienza. web n. etc. ricorre frequentemente in presenza di articolazioni interne delle realtà produttive dotate di una certa autonomia (ad es. 29 del Codice). vale a dire informazioni riferibili a soggetti identificati o identificabili (ad esempio.jsp?ID=1412271#par1 119 In materia v.3. per le società di recupero crediti119.3 – I soggetti che effettuano il trattamento Tratto da “Guida pratica e misure di semplificazione per le piccole e medie imprese . 105 Creative Commons Attribuzione . capacità ed affidabilità. per i centri di elaborazione dati contabili. rispetto a soggetti esterni all'impresa. possono essere designati responsabili del trattamento i dirigenti di funzioni aziendali. la società) che tratta i dati (con la raccolta. 21 giugno 2007 n. 28 del Codice). clienti e fornitori). è tenuto a vigilare sulla puntuale osservanza delle istruzioni da impartire loro. ivi compreso il profilo della sicurezza” (art. quali quelle del personale o del settore marketing) o. Tale figura. “titolare del trattamento” può essere la persona fisica (si pensi all'imprenditore individuale) o giuridica (ad esempio. In particolare. I responsabili del trattamento Il “responsabile del trattamento” (possono essere più d'uno). ivi compreso il profilo relativo alla sicurezza (art. la comunicazione o la diffusione). doc.] entità che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento.Non commerciale 2.. se ritiene di designare uno o più responsabili del trattamento. è una figura che può essere designata a propria discrezione dal titolare del trattamento con un atto scritto nel quale vanno indicati i compiti affidati. la registrazione. dipendenti. comunicazione o diffusione di dati personali) sono effettuate anche a cura del responsabile (se designato) e degli incaricati del trattamento.it/garante/doc. per svariate forme di outsourcing che comportino un trattamento di dati personali (ad es. 11 del Codice). Le operazioni di trattamento (quali la raccolta. 1213644.3 Modulo 2. nell'ambito dello svolgimento dell'attività economica.24 maggio 2007 - (G.U. il provvedimento generale del 30 novembre 2005..

) e risulti inoltre che tali dipendenti sono stati assegnati stabilmente a tale unità. in un'azienda nella quale ad una unità organizzativa sono stati assegnati un determinato numero di dipendenti. a condizione che risultino per iscritto le categorie di dati cui può avere accesso e gli ambiti del trattamento120. Il “titolare del trattamento” è tenuto a designarli.Non commerciale 2. 30 del Codice). nei mansionari. mediante consegna di apposita comunicazione scritta).3 Gli incaricati del trattamento Gli “incaricati del trattamento” sono soggetti (solo persone fisiche) che effettuano materialmente le operazioni di trattamento dei dati personali e operano sotto la diretta autorità del titolare (o del responsabile) attenendosi a istruzioni scritte (art. È sufficiente assegnare un dipendente ad una unità organizzativa. qualora si individuino gli ambiti di competenza (in ordine ai trattamenti di dati consentiti) di quella unità mediante una previsione scritta (ad es. Lezione 2 – Unità didattica 2. 106 Creative Commons Attribuzione . nel contratto. 120 Così. ecc. si potrà ovviare ad una formale designazione (ad esempio. nell'organigramma.5 Italia License .

Il titolare è l’ente con cui l’interessato contrae un “rapporto contrattuale” in virtù del quale il titolare raccoglie i dati personali dell’interessato. Il titolare ha l’obbligo di dare istruzioni sulle misure. È facoltà del titolare esternalizzare tale trattamento ad un terzo (il responsabile esterno) che in tal caso va nominato per iscritto.overlex. Il trattamento è in contitolarità cioè è gestito da più titolari: è il caso in cui due o più titolari. contitolare o responsabile esterno Alcuni trattamenti potrebbero essere gestiti in parte o totalmente con strutture terze.5 Italia License . in comune tra due professionisti. Nessuna nomina formale deve essere fatta. autonomi fra loro. 1. In questo caso la società terza deve essere nominata “responsabile esterno” del trattamento in questione mediante forma scritta. allora tale terzo è a sua volta un “titolare autonomo del trattamento”. I casi possibili sono. Il trattamento ricade nei poteri decisionali dei titolare dell’azienda che semplicemente esternalizza alcuni aspetti del trattamento ad un terzo o outsourcer. Esempio tipico: un trattamento.com/leggiarticolo.4 – Titolare.Non commerciale 2. 121 http://www. Nessuna nomina formale deve essere fatta anche in questo caso. in virtù di quanto previsto nell’informativa. La differenza fra titolare e responsabile esterno è facilmente deducibile da una serie di considerazioni. Un interessante approfondimento sul tema del “Responsabile esterno” è disponibile nell’articolo “ “Il responsabile esterno privacy”121 di Eric Falzone del 5 maggio 2008. che il responsabile esterno deve adottare e di vigilare che queste siano effettivamente adottate. Infine se il titolare non affida all’esterno nessun trattamento ma si limita semplicemente a comunicare dei dati personali a soggetti terzi. 3. 2. quale una banca dati.3. Lezione 2 – Unità didattica 2. Esempio tipico potrebbe essere la conservazione delle copie di sicurezza di nastri o tabulati presso una società specializzata. gestiscono in comune il trattamento e condividono i poteri decisionali sulle relative finalità e modalità.3 Modulo 2. anche di sicurezza.asp?id=1667 107 Creative Commons Attribuzione .

in relazione al grado ricoperto in azienda che gli permette di avvalersi della collaborazione di tutte le strutture e le risorse interne. del lavoro):  redige. dei consulenti esterni (legale. Il “Responsabile interno” avvalendosi dei responsabili delle altre unità operative e.29 del decreto legislativo 30 giugno 2003 n. 108 Creative Commons Attribuzione . documenta e rende note le misure di sicurezza (minime e più ampie) necessarie per la protezione dei dati personali.  con l’assistenza del responsabile “Sistemi e Reti” individua. capacità ed affidabilità idonei a fornire garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento. verifica.3. Lezione 2 – Unità didattica 2. ulteriori responsabili (anche esterni) di specifici trattamenti. aggiorna almeno annualmente. predispone. conserva il Documento Programmatico della Sicurezza.5 – Nomina del responsabile interno Esempio di lettera di nomina a Responsabile (interno) dei trattamenti (Delibera del Consiglio di Amministrazione) Ai sensi dell’art. fiscale. il Consiglio delibera la nomina del Direttore Generale della società quale “Responsabile del trattamento dei dati”. La nomina avviene dopo aver constatato che il Direttore Generale.5 Italia License . possiede i requisiti di esperienza. nonché dei poteri di firma e di spesa. ove necessario. 196 “Codice in materia di trattamento dei dati personali”.  censisce ed aggiorna l'elenco dei trattamenti dei dati personali in azienda e garantisce il diritto d’accesso come previsto dalle norme sulla privacy. per conto del Titolare. concedendo allo stesso la delega a nominare.Non commerciale 2.3 Modulo 2.

da 33 a 35 del Codice.  comunicare tempestivamente qualsiasi richiesta ricevuta ai sensi dell'art. del Documento Programmatico sulla sicurezza previsto dalla regola 19 del Disciplinare Tecnico citato. lgs. almeno annuale. ABC1230. Azienda quale “Responsabile del trattamento” ai sensi dell'art. Ci riserviamo. Azienda. per effetto del contratto stipulato il 21 settembre 2005. Cordiali saluti 109 Creative Commons Attribuzione .  curare l’aggiornamento periodico. In relazione a tale nomina la Vs. consegnandone copia in tempo utile affinché Arcobaleni196 possa provvedere all’adempimento rispettando la scadenza prevista dalla normativa in questione. è “Titolare” di trattamenti di dati personali che sono esternalizzati presso la Vs.Non commerciale 2. per consentirne l'evasione nei termini previsti dalla legge e. da adottarsi nei modi previsti dal Disciplinare Tecnico allegato B al Codice e secondo le previsioni dell’art. 29 del d.5 Italia License . rif. dei dati stessi.  segnalare tempestivamente qualsiasi eventuale carenza sulle misure di sicurezza adottate o su qualunque altro aspetto relativo ai trattamenti conferiti che dovesse comportare responsabilità civili e penali del Titolare. 180. ivi compreso il profilo relativo alla sicurezza. di trattamento non consentito o non conforme alle finalità della raccolta. 7 del Codice. 29 comma 5 del Codice.6 – Nomina del responsabile esterno Esempio di lettera di nomina a Responsabile esterno dei trattamenti Spettabile Società Software1 Arcobaleni196 srl. 31 così da ridurre al minimo i rischi di perdita e distruzione. di accesso non autorizzato. integrazione e cancellazione dei dati. la facoltà di effettuare verifiche periodiche per vigilare sulla puntuale osservanza delle vigenti disposizioni in materia di trattamento. ai sensi dell'art. nei relativi allegati compresi i codici deontologici. 196/2003 “Codice in materia di protezione dei dati personali” (il “Codice”) in relazione ai trattamenti previsti nel contratto suddetto. disporre l'organizzazione interna per l'eventuale modifica. dei comunicati ufficiali.3 Modulo 2. e delle eventuali modificazioni o integrazioni che dovessero intervenire ai sensi dell’art. delle future modificazioni ed integrazioni nonché informarsi e tenere conto dei provvedimenti. anche accidentale. 36 nonché a quelle idonee e preventive di cui all’art. Con la presente Arcobaleni196 designa la Vs. nonché il blocco del trattamento ove venisse disposto dal Garante o dall'Autorità Giudiziaria.  verificare la costante adeguatezza delle misure di sicurezza per la protezione dei trattamenti alle misure minime di sicurezza di cui agli artt. e delle istruzioni suddette. in particolare.3. relativamente ai trattamenti di dati personali conferiti col contratto suddetto. delle autorizzazioni generali emessi dall'Autorità Garante per la Protezione dei Dati Personali (il “Garante”). rettifica. Azienda dovrà seguire le seguenti istruzioni:  garantire che i trattamenti siano svolti nel pieno rispetto delle norme e di ogni prescrizione contenuta nel Codice. Lezione 2 – Unità didattica 2.

Falso.Non commerciale 2. La nomina del Falso Falso. d’accesso è obbligatoria. Gli incaricati possono Vero. Vero.3 Domande di verifica 2. Lezione 2 – Unità didattica 2.3 Domanda Prima risposta Seconda risposta Terza risposta Il censimento dei Vero. le persone giuridiche le persone giuridiche giuridiche possono quali “responsabili quali “cotitolari” del essere nominate esterne” del trattamento. Falso. quelli interni solo se il nomina del titolare lo ritiene responsabile del diritto opportuno. essere solo persone È possibile nominare È possibile nominare Anche le persone fisiche. Falso.5 Italia License . trattamenti va fatto I dati personali comuni I dati sensibili e Il censimento va fatto solo in caso di dati non vanno censiti. trattamento di dati personali indipendentemente che si tratti di dati sensibili o giudiziari. del titolare. incaricati. nominati generale una facoltà facoltà del titolare ma obbligatoriamente. Falso. tuttavia la non è obbligatoria. notificati al Garante. trattamento. giudiziario vanno per qualsiasi sensibili o giudiziari. “Responsabile” dei Solo i responsabili La nomina del La nomina del trattamenti è “esterni” vanno responsabile è in responsabile è una obbligatoria. 110 Creative Commons Attribuzione .

privacy è obbligatoria L’allegato B del e va riportata sul DPS. “semplificazioni” del 2008 artigiani e PMI sono più tenute al rispetto delle misure minime di sicurezza che tuttavia sono state semplificate in alcuni aspetti. Con diritto d’accesso Vero.Non commerciale 2. Domande di verifica 2. sicurezza sono uguali Anche con le per tutti i titolari.2 e risposte corrette Domanda Prima risposta Seconda risposta Terza risposta Nel 2007 il Garante ha Vero.1 e risposte corrette Domanda Prima risposta Seconda risposta Terza risposta Le misure minime di Vero. La formazione sulla Vero. pubblicato le proprie L'Autorità prescrive linee guida per la posta ai datori di lavoro di elettronica ed Internet informare con chiarezza e in modo dettagliato i lavoratori sulle modalità di utilizzo di Internet e della posta elettronica e sulla possibilità che 111 Creative Commons Attribuzione . dati personali sono trattati dal titolare.5 Italia License . Lezione 2 – Risposte alle domande di verifica Risposte alle domande di verifica della lezione 2 Domande di verifica 2. Codice indica chiaramente tale obbligo.. si intende il diritto Tale diritto è indicato dell’interessato a all’articolo 7 del conoscere quali suoi Codice.

pubblicato le linee. le persone giuridiche quali “responsabili esterne” del trattamento. Con tale guida per il provvedimento il trattamento di dati dei Garante ha definito dipendenti privati misure ed accorgimenti per disciplinare la raccolta e l'uso dei dati personali nella gestione del rapporto di lavoro. 112 Creative Commons Attribuzione .3 e risposte corrette Domanda Prima risposta Seconda risposta Terza risposta Il censimento dei Falso. di videosorveglianza è In caso di necessaria solo nel videosorveglianza caso che le immagini l’informativa va siano registrate sempre data. La nomina del Falso.5 Italia License . Lezione 2 – Risposte alle domande di verifica vengano effettuati controlli. “Responsabile” dei La nomina del trattamenti è responsabile è una obbligatoria. Nel 2006 il Garante ha Vero. facoltà del titolare ma non è obbligatoria. Se non vi è registrazione di immagini può essere fornita una informativa minima sotto forma di cartello. Gli incaricati possono Vero. L’informativa in caso Falso. trattamenti va fatto Il censimento va fatto solo in caso di dati per qualsiasi sensibili o giudiziari.Non commerciale 2. essere solo persone È possibile nominare fisiche. Domande di verifica 2. trattamento di dati personali indipendentemente che si tratti di dati sensibili o giudiziari.

Lezione 3 – Protezione dei dati personali Lezione 3 – Protezione dei dati personali Caso di studio C – Arcobaleni196 e la sicurezza informatica Unità Didattica 3.3 – La protezione dei dati personali in pratica Risposte alle domande di verifica della lezione 3 113 Creative Commons Attribuzione .5 Italia License .Non commerciale 2.2 – Il Documento Programmatico sulla Sicurezza Unità Didattica 3.1 – La sicurezza informatica Unità Didattica 3.

Responsabili dei trattamenti Percorsi formativi • Corso per Direzione.5 Italia License . • Documento Programmatico sulla Sicurezza. • Minacce. • Corso per Responsabile dei trattamenti.Non commerciale 2. contromisure. protezione dei dati. email. Concetti chiave: • Sicurezza informatica. rischi. • Corso per Responsabile dei trattamenti di marketing. analisi dei rischi. • Corso per Responsabile dei trattamenti con video sorveglianza. 114 Creative Commons Attribuzione . Internet. • Regolamenti aziendali sulla sicurezza. Lezione 3 – Protezione dei dati personali Obiettivi di apprendimento • Cos’è la sicurezza informatica? • Cos’è il Documento Programmatico sulla Sicurezza? • Come va regolamentata la sicurezza informatica in azienda? A chi si rivolge questa lezione? Direzione aziendale.

Lezione 3 – Caso di studio C Lezione 3 – Caso di studio C Arcobaleni196 e la sicurezza informatica 115 Creative Commons Attribuzione .Non commerciale 2.5 Italia License .

“Inoltre il Documento Programmatico. possiamo partire dal facsimile di DPS consigliato dal Garante per la protezione dei dati personali. i principi fondamentali del “Codice in materia di protezione dei dati personali” e di fare un riepilogo dei principali adempimenti richiesti alle aziende in ambito privacy. allora?” mi chiede rassegnato Arcobaleni. cioè fa una previsione. ho avuto modo di spiegare. Ma non ce l’abbiamo già!” 116 Creative Commons Attribuzione . non richiede notevoli investimenti in quanto fotografa lo stato delle misure di sicurezza già adottate e programma. “Ingegnere” esordisce immediatamente Arcobaleni “lei mi ha convinto della necessità di riorganizzarci per rispondere meglio agli adempimenti della privacy.” “Ma ho visto esempi di DPS formati da centinaia di pagine e decine di allegati … Non vorrei distogliere qualcuno dal suo vero lavoro per costringerlo a trasformarsi in uno scrittore …” “Nelle aziende con una struttura organizzativa molto complessa in effetti c’è il rischio che il Documento Programmatico diventi voluminoso e difficile da gestire.” Documento Programmatico sulla Sicurezza “Cosa dobbiamo fare. se ci si organizza bene.5 Italia License . Per facilitare le cose partiamo dall’elenco dei trattamenti che abbiamo realizzato nella scorsa <<esercitazione>>. “Per prima cosa facciamo un esercizio tutti insieme. Direttor Generale della società Arcobaleni196. Ma il Documento Programmatico sulla Sicurezza. Infatti il censimento dei trattamenti di dati personali è il primo elemento da inserire nel DPS. Elenchiamo le misure di sicurezza che sono adottate in azienda. dobbiamo proprio farlo? Non possiamo trovare qualche esimente? Non possiamo sfruttare le semplificazioni del Garante?” “Caro cavaliere. Adesso sono di nuovo a colloquio con il cavalier Arcobaleni per affrontare il tema della sicurezza informatica. sulle misure che si intende adottare in futuro. il DPS è uno strumento estremamente utile in azienda” gli rispondo. a lui ed ai suoi principali collaboratori. Nel caso di Arcobaleni196. una media impresa. Credo anche che provvederemo alla nomina del responsabile della privacy.Non commerciale 2. Lezione 3 – Caso di studio C Nei primi due incontri che ho avuto con il cavalier Arcobaleni.

Lezione 3 – Caso di studio C Trattamento Automatizzato Dato sensibile Dato giudiziario Esternalizzato Paghe e contributi Sì Sì Sì Gestione personale Sì Sì Sì Fatturazione attiva Clienti Fornitori Contabilità Ciclo di produzione Gestione Qualità No Adempimenti societari No Sì Guardania. dica pure” “In Arcobaleni196 sono io che mi occupo delle misure di sicurezza informatica: posso garantirle che tutta una serie di misure (password.Non commerciale 2. Prototipi Sicurezza sul posto di lavoro 626 No Sì Sì Sì corrispondenza e protocollo posta entrata Sì Sì ed uscita videosorveglianza ordini via web posta elettronica Sì curricula aspiranti collaboratori e Sì Sì Sì dipendenti.5 Italia License . antivirus. cartaceo comunicazioni commerciali adempimenti e consulenza fiscale No Sì adempimenti e consulenza legale No Sì Sì adempimenti e consulenza giuslavoristica No Sì Sì Sì 1) Trattamenti di dati personali Documento Programmatico sulla Sicurezza “Vorrei fare una osservazione” dice Pino White della funzione “Sistemi e Reti” “Prego. firewall) sono già applicate a tutte le applicazioni 117 Creative Commons Attribuzione .

Questa è quella che in gergo si definisce l’analisi dei rischi: i dati esposti a rischi maggiori devono essere protetti con maggiori misure di sicurezza. Lezione 3 – Caso di studio C informatiche. tre domande” “Dica pure” “La prima domanda è: ci sono particolari sistemi informativi o applicazioni software che proteggete in maniera particolare con misure di sicurezza speciali?” “Certamente “ risponde White “i sistemi ed i programmi dell’area Ricerca e Sviluppo. signor White.” “E perché avete deciso di proteggere proprio i sistemi ed i programmi dell’area Ricerca e Sviluppo?” “Oh bella questa!” esclama Arcobaleni “perché ci potrebbe essere qualche concorrente interessato alle nostre idee. Si tratta semplicemente di elencare le misure di sicurezza e verificare che “comprendano” le misure minime (e obbligatorie) indicate dal Codice.Non commerciale 2. Inoltre facciamo (ovviamente!) le copie di sicurezza dei dati presenti sia sui server aziendali sia sui pc individuali. Vorrei farle però. mi sembra chiaro!” “Perfetto cavaliere.” 1) 2) Trattamenti Misure di di dati sicurezza personali Documento Programmatico sulla Sicurezza “Perfetto!” esclamo io “Questo ci mette in una situazione molto vantaggiosa. Abbiamo un sistema di crittografia per impedire che qualcuno possa intercettare o copiare i nostri progetti. Anche l’analisi dei rischi va riportata sul DPS” 118 Creative Commons Attribuzione . indipendentemente dagli obblighi della legge sulla privacy.5 Italia License .

“E quello sugli antivirus” sbotta Arcobaleni. “Perfetto! Avrete sicuramente un elenco dei corsi già sostenuti e che pensate di sostenere nei prossimi mesi. 119 Creative Commons Attribuzione . Anche questo elenco va inserito nel DPS” “Gli elenchi sulla formazione sono compilati e conservati da me” conferma Carmela Rossetti della funzione “Qualità e Controlli”. Lezione 3 – Caso di studio C 1) 2) 3) Trattamenti Misure di Analisi dei di dati sicurezza rischi personali Documento Programmatico sulla Sicurezza “Quindi si tratta solo di scrivere in bella copia ciò che già facciamo?” chiede White “Risponderò tra un attimo alla sua osservazione.5 Italia License . le infrastrutture tecnologiche o temi simili?” “Certamente!” sbotta Cavalieri “mi fanno spendere un sacco di soldi per la formazione…” “Abbiamo fatto il corso sulla nuova Intranet” dice White. la sicurezza. “E il corso su Windows Vista” ricorda il signor Marroni. Primo ecco la seconda domanda: avete fatto corsi di formazione negli ultimi 12 mesi che hanno a che fare con la privacy.Non commerciale 2.

“Ecco tutte queste informazioni vanno inserite nel DPS” dico “perché si tratta di programmazioni relative ai prossimi mesi su tematiche che hanno a che fare con il trattamento dei dati personali!” 120 Creative Commons Attribuzione . Marroni. “E sostituiremo tutti i vecchi pc della contabilità” aggiunge White.5 Italia License . “Io ho chiesto di avere un sistema di posta elettronica certificata” dice Arcobaleni. Lezione 3 – Caso di studio C 1) 2) 3) Trattamenti Misure di Analisi dei di dati sicurezza rischi personali Documento Programmatico sulla Sicurezza 4) Piano di formazione “Infine la terza ed ultima domanda: nei prossimi mesi pensate di adottare nuovi sistemi di sicurezza? Di modificare in maniera sistematica la vostra architettura software o hardware? Di cessare o iniziare nuovi trattamenti di dati personali?” “Beh ci sarebbe il progetto relativo alla nuova intranet” osserva il sig.Non commerciale 2.

“Allora che ci rimane da fare? Sciogliamo la riunione?” borbotta Arcobaleni. piano di formazione 5. Affronterò tre argomenti: 1.5 Italia License . “Dato che siamo tutti gli riuniti vorrei spiegarvi più in dettaglio quali sono gli adempimenti privacy in ambito protezione dei dati personali ed approfondire alcuni punti. regole pratiche per la protezione dei dati personali” 121 Creative Commons Attribuzione . piano di miglioramento il DPS praticamente è già fatto!” esclamo con soddisfazione. elenco delle misure di sicurezza 3. analisi dei rischi 4. cos’è la sicurezza informatica 2.Non commerciale 2. censimento dei trattamenti di dati personali 2. il Documento Programmatico sulla Sicurezza 3. Lezione 3 – Caso di studio C 1) 2) 3) Trattamenti Misure di Analisi dei di dati sicurezza rischi personali Documento Programmatico sulla Sicurezza 4) 5) Piano di Piano di formazione miglioramento “Recuperando. aggiornando o realizzando questi 5 elementi: 1.

Lezione 3 – Caso di studio C Inizia il corso… 122 Creative Commons Attribuzione .5 Italia License .Non commerciale 2.

1.6 – Analisi dei rischi – metodologie disponibili in italiano Modulo 3.5 – Analisi dei rischi – la teoria Modulo 3.1 123 Creative Commons Attribuzione .1.7 – Analisi dei rischi – un approccio semplificato Modulo 3.2 – Il quadro normativo della sicurezza informatica Modulo 3. Lezione 3 – Unità didattica 3.8 – Siti utili ed approfondimenti sulla sicurezza informatica Domande di verifica 3.1 – La sicurezza informatica Modulo 3.1.1.1.4 – Standard di sicurezza Modulo 3.1 Lezione 3 – Unità didattica 3.1.Non commerciale 2.1.1 – Privacy e sicurezza Modulo 3.5 Italia License .3 – Cos’è la sicurezza informatica? Modulo 3.1.

L’elenco delle misure minime contenute nel Codice agli articoli 34 e 35 è completato dalle indicazioni contenute nell’allegato B124 .1 – Privacy e sicurezza Il “Codice in materia di protezione dei dati personali” 122 entrato in vigore il 1° gennaio 2004 ha confermato. In particolare. Le misure di sicurezza per i dati personali sono indicate in più articoli del Codice e dell’allegato B. • l’articolo 32 fissa obblighi di sicurezza particolari per i fornitori di un servizio di comunicazione elettronica accessibile al pubblico. alla natura dei dati e alle specifiche caratteristiche del trattamento.it/garante/doc. Lezione 3 – Unità didattica 3. e dagli incaricati. dal responsabile. dei dati stessi. I dati personali oggetto di trattamento devono essere “custoditi e controllati”.jsp?ID=1311248 124 http://www.5 Italia License .1 Modulo 3. di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.1. Tra i “provvedimenti”125 più significativi emanati dal Garante per la protezione dei dati personali in relazione agli aspetti di sicurezza vanno infine ricordati. anche accidentale. • l’articolo 34 indica le misure minime di sicurezza per i trattamenti con strumenti elettronici.it/garante/doc. se designato. L’articolo 31 del Codice prescrive gli obblighi di sicurezza che devono essere osservati dal titolare del trattamento. nel Codice: • l’articolo 1 sancisce il “diritto alla protezione dei dati personali”. mediante l'adozione di idonee e preventive misure di sicurezza. anche in relazione alle conoscenze acquisite in base al progresso tecnico.garanteprivacy.garanteprivacy.it/garante/doc. • l’articolo 35 indica le misure minime di sicurezza per i trattamenti senza strumenti elettronici.garanteprivacy.jsp?ID=1311248 123 http://www. 122 http://www. i rischi di distruzione o perdita. • l’articolo 31 fissa gli obblighi di sicurezza (custodia e controllo). in modo da ridurre al minimo.Disciplinate tecnico – ai punti da 1 a 29.Non commerciale 2.jsp?ID=1557184 125 Per la definizione di “provvedimento” si veda la lezione L1 di questo corso 124 Creative Commons Attribuzione . “Codice in materia di protezione dei dati personali”123 articolo 31. aggiornato e reso più precisa la disciplina in materia di sicurezza dei dati personali e dei sistemi informatici e telematici già introdotta nel 1996.

Il Garante ha scritto che tra gli obblighi di protezione dei dati dei clienti di una banca vi è anche quello di comunicare.jsp?ID=1648935 125 Creative Commons Attribuzione . al titolare del conto corrente.Non commerciale 2.garanteprivacy.garanteprivacy.it/garante/doc.it/garante/doc. 126 http://www.1 Data Argomento 24 dicembre Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti 2008 elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema 27 novembre Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di 2008 cui all'Allegato B) al Codice in materia di protezione dei dati personali marzo 2007 Linee guida del Garante per posta elettronica e internet novembre 2006 Linee guida del Garante per il trattamento dei dati dei dipendenti privati ottobre 2005 Impronte digitali ed altri sistemi biometrici aprile 2004 Videosorveglianza 13 ottobre 2008 Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali126 gennaio 2008 Sicurezza dei dati di traffico telefonico e telematico127 Interessante anche quanto riportato dal Garante nella sua Newsletter n. eventuali accessi non autorizzati allo stesso. 327 del 9 settembre128.jsp?ID=1571960 127 http://www.5 Italia License .it/garante/doc.jsp?ID=1482111 128 http://www.garanteprivacy. Lezione 3 – Unità didattica 3.

jsp?ID=1311248 135 http://www. n. • la legge 3 agosto 1998.parlamento.5 Italia License .48/2008135 sulla “criminalità informatica” entrata in vigore il 5 aprile 2008 che ha modificato il Codice Penale.htm 131 http://www.complianceaziendale. che impone misure di sicurezza nel trattamento dei dati personali. conoscibili fuori dei casi consentiti o altrimenti trattati in modo illecito.garanteprivacy. nel 2008 è stato aggiornato per tener conto della legge n.2 – Il quadro normativo della sicurezza informatica Occorre custodire e controllare i dati personali oggetto di trattamento per contenere nella misura più ampia possibile il rischio che i dati siano distrutti.it/garante/doc.garanteprivacy.pdf 136 http://www. n. Tale obbligo nasce da una serie di norme emanate nel tempo tra le quali: • la legge 23 dicembre 1993 n. nel luglio 2009 per tener conto di nuovi delitti in relazione alla violazione del diritto d’autore. scambio e commercio di materiale pedopornografico in rete.it/leggi/00248l.htm 133 http://www. In particolare il d. n.html 134 http://www.1. delle società e delle associazioni anche prive di personalità giuridica.pdf 126 Creative Commons Attribuzione .lgsl.senato. 300133” per gli aspetti relativi ai crimini informatici. entrato in vigore il primo gennaio 2004.it/service/PDF/PDFServer/BGT/00298813.48/2008136.com/2008/02/struttura-del-d-lgs-8-giugno-2001-n. Lezione 3 – Unità didattica 3.it/garante/doc. 231/01 viene periodicamente aggiornato con l’inclusione di nuovi reati. 129 http://www. 269 “Norme contro lo sfruttamento della prostituzione. quali nuove forme di riduzione in schiavitù131” volta al contrasto della detenzione. a norma dell'articolo 11 della legge 29 settembre 2000.Non commerciale 2. 231 “Disciplina della responsabilità amministrativa delle persone giuridiche.interlex. introdotto nuove fattispecie di reati informatici inasprendo le pene ed estendendo la responsabilità amministrativa delle imprese (d.it/parlam/leggi/98269l. 547 “Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica130”. della pornografia. 248 “Nuove norme di tutela del diritto d'autore132” volta a reprimere i comportamenti illeciti di pirateria informatica. n.it/service/PDF/PDFServer/BGT/00298813. dispersi anche accidentalmente.camera.jsp?ID=771307 130 http://www.htm 132 http://www. del turismo sessuale in danno di minori.senato. • il “Codice in materia di protezione dei dati personali134”. Tratto da “Obblighi di sicurezza e documento programmatico”129.lgsl 231/01) anche ai reati informatici. indicazioni del Garante a Confindustria del 22 marzo 2004 In Italia è obbligatorio assicurare costantemente un adeguato livello di sicurezza dei sistemi informativi e delle reti di telecomunicazioni aziendali.1 Modulo 3. • la legge n. • Il Decreto Legislativo 8 giugno 2001.it/Testi/l547_93. • la legge 18 agosto 2000.

Non commerciale 2. dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità • 635-quater: danneggiamento di sistemi informatici o telematici • 640-quinquies: truffa del certificatore di firma elettronica Vediamo in dettaglio alcuni di questi reati.dall’analisi del rischio alle strategie di protezione” in http://www. o l’alterazione del suo funzionamento. consegna o. dati e programmi informatici • 635-ter: danneggiamento di informazioni.it/index. importa. 615 ter Accesso abusivo ad un sistema informatico o telematico Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo. Di seguito l’elenco dei reati informatici trattati da questa legge: • 420: attentato a impianti di pubblica utilità compreso il danneggiamento o la distruzione di sistemi informatici o telematici di pubblica utilità • 491-bis: falsità in un documento informatico pubblico o privato • 615-ter: accesso abusivo ad un sistema informatico o telematico • 615-quater: detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici • 615-quinquies: diffusione di apparecchiature. Art. comunque. i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l’interruzione. 10) sia il “Codice in materia di protezione dei dati personali” sia (art.php/archivio-news/3-articoli/15-news-pub2 a cura dell’Istituto Superiore delle Comunicazioni e delle Tecnologie dell'Informazione (ISCOM) pag. 615-quinquies: diffusione di apparecchiature. allo scopo di danneggiare illecitamente un sistema informatico o telematico. comunica.isticom. è punito con la reclusione fino a tre anni. Lezione 3 – Unità didattica 3. produce. • 635-bis: danneggiamento di informazioni. 231 (la cosiddetta “Responsabilità amministrativa delle imprese). Per la pubblica amministrazione sono inoltre da considerare ulteriori norme specifiche137 così come per le aziende che operano nel comparto finanziario ed assicurativo e delle telecomunicazioni.1 Queste norme valgono per tutte le imprese. totale o parziale. La pena è della reclusione da uno a cinque anni: 1) se il fatto è commesso (…) con abuso della qualità di operatore del sistema. si procura. riproduce.5 Italia License . dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico • 617-quater: intercettazione.48/2008 sulla “criminalità informatica” Questa legge ha introdotto nuovi adempimenti per la sicurezza informatica in quanto ha modificato (art. diffonde. La legge n. impedimento o interruzione illecita di comunicazioni informatiche o telematiche • 617-quinquies: installazione di apparecchiature atte ad intercettare. 7) il decreto legislativo 8 giugno 2001. impedire o interrompere comunicazioni informatiche o telematiche. Art. “Chiunque. le informazioni. 75 e seguenti 127 Creative Commons Attribuzione . dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico. mette a disposizione di altri 137 Una buona sintesi delle norme di sicurezza per la PA è disponibile in “La sicurezza delle reti . n.

In mancanza di tali misure. comprendendo tutte quelle apparecchiature e dispositivi il cui funzionamento sia idoneo a danneggiare un sistema informatico. Lezione 3 – Unità didattica 3. al fine appunto di danneggiare o alterare un sistema informatico. n. skimmer e così via. acquisto di dongle. 171. laddove. con la reclusione da sei mesi a tre anni. vendita o detenzione a scopo commerciale o imprenditoriale o concessione in locazione di programmi contenuti in supporti non 138 tratto da: http://www. • art. lgs. si prestino ad un utilizzo illecito. ad esclusione dello Stato. o di parte di essa. dati o programmi informatici altrui è punito.329”. chiunque distrugge. n. • art. importazione. In pratica il “delitto” di cui all'art. dati e programmi informatici.1 apparecchiature. è punito con la reclusione fino a due anni e con la multa sino a euro 10. 231/2001 – “Disciplina della responsabilità amministrativa delle persone giuridiche. la pena è della reclusione da uno a quattro anni e si procede d’ufficio” La responsabilità amministrativa delle imprese (d. altera o sopprime informazioni. 633/1941 comma 1: abusiva duplicazione. Nota: la norma quindi include non solo il software.com/2009/07/ddl-s1195-b-disposizioni-per-lo. degli enti pubblici territoriali. 615 quinquies scatta non solo quando ci si procura virus e malware in genere. ovvero i dati e programmi ivi contenuti. l’azienda ne risponde. deteriora.5 Italia License .lgsl 231/01) Il D. Tale decreto introduce nell'ordinamento italiano il concetto di responsabilità delle società nei casi in cui persone fisiche commettano dei reati anche nell'interesse o a vantaggio della società stessa. mediante connessioni di qualsiasi genere. n. a norma dell'articolo 11 della legge 29 settembre 2000. distribuzione. 171. dispositivi o programmi informatici. naturalmente. cancella. ma anche nel caso di la produzione. Articolo 635 – bis: danneggiamento di informazioni. “Salvo che il fatto costituisca più grave reato. lgs. Le aziende devono in poche parole predisporre preventive ed idonee misure di sicurezza e di controllo per prevenire ed impedire che il management o i dipendenti commettano reati informatici quali quelli previsti dalla legge n.48/2008 sulla “criminalità informatica”. nonché agli enti che svolgono funzioni di rilievo costituzionale. delle società e delle associazioni anche prive di personalità giuridica. si applica a tutte le persone giuridiche e alle società e associazioni anche prive di personalità giuridica. di un'opera dell'ingegno protetta. l. I nuovi reati introdotti nel luglio 2009 in materia di violazione del diritto di autore Nel luglio 2009 il D. 171-bis l. Se ricorre la circostanza di cui al numero 1) del secondo comma dell’articolo 635 ovvero se il fatto e` commesso con abuso della qualità di operatore del sistema. 633/1941 comma 3: reati di cui al punto precedente commessi su opere altrui non destinate alla pubblicazione qualora ne risulti offeso l’onore o la reputazione. importazione. • art. per trarne profitto. l. 231/2001 è stato modificato con l’introduzione dell’art 25-novies in materia di violazione del diritto di autore che riguarda i seguenti reati138. smart card.html 128 Creative Commons Attribuzione . degli altri enti pubblici non economici. ovvero ad alterarne il funzionamento.300”.Non commerciale 2. ma anche l'hardware. a querela della persona offesa. 633/1941 comma 1 lett a) bis: messa a disposizione del pubblico. nel caso il reato sia commesso e porti un vantaggio diretto o indiretto all’azienda. di programmi per elaboratore. in un sistema di reti telematiche.complianceaziendale.

trasmissione o diffusione in pubblico con qualsiasi procedimento. In materia di sicurezza delle informazioni il “Codice” distingue infatti due distinti obblighi. vendita o commercio. riproduzione. Resta in vigore. Le “misure minime” sono però solo una parte degli accorgimenti obbligatori in materia di sicurezza (art. riproduzione.5 Italia License . opere letterarie. aggiornato e reso più precisa la disciplina in materia di sicurezza dei dati personali e dei sistemi informatici e telematici già introdotta nel 1996. installazione. vendita. a) l’obbligo più generale di ridurre al minimo determinati rischi. multimediali. nastri o supporti analoghi o ogni altro supporto contenente fonogrammi o videogrammi di opere musicali. importazione. 171-septies l. 633/1941: fraudolenta produzione. l’obbligo di adottare ogni altra misura di sicurezza idonea a fronteggiare le predette evenienze. di opere dell'ingegno destinate al circuito televisivo. 33 del Codice). mediante connessioni di qualsiasi genere. alla natura dei dati e alle caratteristiche del trattamento. la cui importanza è tale che il legislatore ha previsto anche una sanzione penale in caso di inadempimento. 31). 171-octies l. modifica. duplicazione.Non commerciale 2. di cui si devono valutare comunque i rischi (art. 633/1941 comma 2: riproduzione. cessione a qualsiasi titolo o importazione abusiva di oltre cinquanta copie o esemplari di opere tutelate dal diritto d'autore e da diritti connessi. via cavo. • art. presentazione o dimostrazione in pubblico. In particolare è stato confermato il principio (evidenziato con maggiore chiarezza dalle nuove disposizioni) secondo cui tutti i titolari di trattamenti di dati personali devono adottare “misure minime di sicurezza”. cinematografico. in tutto o in parte. anche se inserite in opere collettive o composite o banche dati. avuto riguardo alle conoscenze acquisite in base al progresso tecnico. • art. utilizzo per uso pubblico e privato di apparati o parti di apparati atti alla decodificazione di trasmissioni audiovisive ad accesso condizionato effettuate via etere. comunicazione. musicali o drammatico musicali. conoscibili fuori dei casi consentiti o altrimenti trattati in modo illecito. della vendita o del noleggio di dischi. in forma sia analogica sia digitale. distribuzione. drammatiche. Occorre custodire e controllare i dati personali oggetto di trattamento per contenere nella misura più ampia possibile il rischio che i dati siano distrutti. Lezione 3 – Unità didattica 3. oltre alle cosiddette “misure minime”. trasferimento su altro supporto. o parte di essa. immissione in un sistema di reti telematiche. di un'opera dell'ingegno protetta dal diritto d'autore. Il “Codice in materia di protezione dei dati personali” Il “Codice in materia di protezione dei dati personali” entrato in vigore il 1° gennaio 2004 ha confermato. trasmissione o diffusione abusiva. via satellite. dispersi anche accidentalmente. predisposizione di mezzi per rimuovere o eludere i dispositivi di protezione di programmi per elaboratori. scientifiche o didattiche.1 contrassegnati dalla SIAE. • art. • art. 171-bis l. 633/1941: abusiva duplicazione. estrazione o reimpiego della banca dati. del contenuto di una banca dati. distribuzione. 633/1941: mancata comunicazione alla SIAE dei dati di identificazione dei supporti non soggetti al contrassegno o falsa dichiarazione. promozione. 171-ter l. vendita o concessione in locazione di banche di dati. 129 Creative Commons Attribuzione . cinematografiche o audiovisive assimilate o sequenze di immagini in movimento.

e l’eventuale “ravvedimento operoso” di chi adempie puntualmente alle prescrizioni impartite dal Garante una volta accertato il reato ed effettua un pagamento in sede amministrativa.” Inoltre come ha ribadito più volte il Garante “le scelte di fondo sulle modalità di trattamento sotto il profilo della sicurezza competono alle persone e agli organi legittimati ad adottare decisioni ed esprimere a vari livelli. Nel quadro degli accorgimenti più ampi da adottare per effetto dell’obbligo ora richiamato. non si dimostri di aver adottato tutte le misure idonee ad evitarlo (artt.1 L’inosservanza di questo obbligo rende il trattamento illecito anche se non si determina un danno per gli interessati. del Codice). il Codice ha introdotto l’obbligo di riferire nella relazione di accompagnamento a ciascun bilancio di esercizio circa l’avvenuta redazione o aggiornamento del DPS che sia obbligatorio come misura “minima” o che sia stato comunque adottato (regola 26 Allegato B). il Codice conferma l’impianto secondo il quale l’omessa adozione di alcune misure indispensabili (“minime”). 15 e 152 del Codice). 1 e 7. che prevede l’arresto sino a due anni o l’ammenda da 10 mila euro a 50 mila euro. comma 1. lett. ed espone a responsabilità civile per danno anche non patrimoniale qualora.” In questo quadro. la volontà della società. b) nell’ambito del predetto obbligo più generale. viola inoltre i loro diritti. prevista dall’Allegato B). 130 Creative Commons Attribuzione . davanti al giudice ordinario. del Codice). f). 4. Scrive infatti il Garante: “Anche la redazione del DPS è una misura minima. Tra le misure minime rientra anche la redazione del Documento Programmatico sulla Sicurezza. il dovere di adottare in ogni caso le “misure minime”. occorre assicurare comunque un livello minimo di protezione dei dati personali. costituisce anche reato (art.Non commerciale 2. ente o altro organismo titolare del trattamento (art.5 Italia License . in base al proprio ordinamento interno. in aggiunta alle conseguenze appena ricordate. Lezione 3 – Unità didattica 3. Pertanto. le cui modalità sono specificate tassativamente nell’Allegato B) del Codice. 169 del Codice. comma 3. compreso il diritto fondamentale alla protezione dei dati personali che può essere esercitato nei confronti del titolare del trattamento (artt. ottenendo così l’estinzione del reato).

Solo il personale autorizzato può modificare la configurazione di un sistema o l’informazione trasmessa su una rete.1 Modulo 3.5 Italia License . Le informazioni riservate devono essere protette sia durante la trasmissione che durante la memorizzazione. 131 Creative Commons Attribuzione . In azienda. mentre per le informazioni riservate trasmesse è necessaria la crittografia. Una varietà di attacchi possono comportare la perdita o la riduzione parziale della disponibilità di un sistema informatico. Lezione 3 – Unità didattica 3. Disponibilità L’informazione deve essere sempre disponibile alle persone autorizzate quando necessario. Riservatezza L’informazione deve essere accessibile solo a chi è autorizzato a conoscerla. mentre altri richiedono speciali azioni fisiche per prevenire o ridurre la perdita di dati o di risorse in un sistema distribuito. dunque in base ad una preliminare analisi dei rischi. Integrità Le informazioni devono essere trattate in modo che siano difese da manomissioni e modifiche non autorizzate.3 – Cos’è la sicurezza informatica? Nell’ambito dei sistemi informativi con “sicurezza” si intende l’insieme delle misure di carattere organizzativo e tecnologico atte a garantire la riservatezza (o confidenzialità). l’adozione delle misure di sicurezza va modulata in relazione ai beni da proteggere ed alle minacce possibili a tali beni. Per garantire l’integrità dei dati è necessario che il sistema sia preparato ad individuare eventuali modifiche apportate ai dati durante la trasmissione. sia intenzionalmente in seguito ad un attacco. l'integrità e la disponibilità delle informazioni gestite. I dati memorizzati devono essere protetti mediante crittografia o utilizzando un controllo d’accesso.1.Non commerciale 2. alcuni di questi attacchi sono evitabili tramite contromisure automatizzate come l’autenticazione e la crittografia. sia involontariamente in seguito ad un errore di trasmissione.

Lezione 3 – Unità didattica 3.1

Modulo 3.1.4 – Standard di sicurezza
Esistono numerose metodologie e standard di sicurezza informatica139 quali:

• la famiglia ISO 27000, che ha sostituito i British Standard BS 7799:1 e BS 7799:2
• i manuali operativi del NIST statunitense;
• il BSI IT Baseline Protection Manual (manuale per la protezione di base IT) dell'istituto
federale Ufficio Federale per la sicurezza informatica della Repubblica tedesca;
• i Common Criteria (anche ISO 15408).

L’ISO 27002 (già BS ISO/IEC 17799:2005 BS 7799-1:2005) ad esempio propone un modello di
“Sistema di Gestione della Sicurezza delle Informazioni” (SGSI), in inglese Information Security
Management System (ISMS), articolato nelle seguenti componenti140:

• Gestione dei rischi (Risk Assessment and Treatment)
• Politiche di sicurezza (Security Policy)
• Struttura organizzativa (Organization of Information Security)
• Inventario e classificazione dei beni aziendali (Asset Management)
• Sicurezza nella gestione delle risorse umane (Human Resources Security)
• Sicurezza fisica (Physical and Environmental Security)
• Gestione delle comunicazioni e delle procedure (Communications and Operations
Management)
• Controllo accessi (Access Control)
• Acquisizione, sviluppo e manutenzione dei sistemi informativi (Information Systems
Acquisition, Development, Maintenance)
• Gestione degli incidenti di sicurezza (Information Security Incident Management)
• Continuità del servizio (Business Continuity)
• Conformità alle norme ed ai regolamenti (Compliance)

Il concetto di ISMS è mutuato dal mondo della qualità come strumento per tenere sotto controllo
(in modo sistematico e nel tempo) i processi legati alla sicurezza, tramite la definizione di ruoli,
responsabilità, procedure formali (sia per l'operatività aziendale che per la gestione delle
emergenze) e canali di comunicazione.
Definire un sistema di gestione è di fondamentale importanza nell’ambito della sicurezza in quanto
non è sufficiente progettare una soluzione tecnica sicura, ma è altrettanto importante mantenerne la
sicurezza nel tempo.
ISO 27000 individua tre elementi fondamentali per una corretta gestione dell’ ISMS:

1. le politiche aziendali (è necessario il coinvolgimento della direzione sia per avere una
visione globale e strategica del problema della sicurezza che per dedicare risorse);
2. gli strumenti tecnologici;

139
http://it.wikipedia.org/wiki/Standard_di_sicurezza_informatica
140
Non esiste una traduzione italiana ufficiale di ISO 27000; nel seguito, ove si ritiene utile, si riporteranno tra parentesi
i termini originali inglesi
132

Creative Commons Attribuzione - Non commerciale 2.5 Italia License

Lezione 3 – Unità didattica 3.1

3. gli atteggiamenti individuali (formazione e sensibilizzazione del personale, creazione di
canali di comunicazione).

In sintesi, BS 7799-1 fornisce un insieme coerente di controlli comprensivi di best practices per l’
information security; tali controlli possono essere utilizzati, in particolare, per implementare un
ISMS; BS 7799-2 specifica il processo per scegliere, implementare e mantenere l’ISMS usando i
controlli indicati nella parte 1.

133

Creative Commons Attribuzione - Non commerciale 2.5 Italia License

Lezione 3 – Unità didattica 3.1

Modulo 3.1.5 – Analisi dei rischi – la
teoria
Una corretta gestione dei rischi informatici è il punto di partenza per progettare e mantenere nel
tempo il sistema di sicurezza aziendale.
Esistono numerosi standard e modelli di riferimento per l’IT Risk Assessment che occorre
conoscere per valutare e scegliere la soluzione più adatta alla propria realtà aziendale.

ISO 27001:2005, ad esempio, suddivide la gestione del rischio IT in due fasi:

1. analisi del rischio, in cui a partire dalla classificazione delle informazioni/beni da proteggere
e dell’identificazione delle relative minacce, si identifica il livello di rischio esistente;
2. controllo del rischio, in cui si identificano le modalità con le quali eliminare, ridurre o
controllare tale rischio rilevato.

Al di là del modello prescelto, le attività di risk assessment prevedono sempre una serie di fasi
ormai standardizzate:
• identificazione e classificazione delle risorse da proteggere (i cosiddetti asset);
• analisi dei danni che si possono subire;
• identificazione delle minacce, delle possibilità cioè di compromissione accidentale, o deliberata,
della sicurezza del sistema;
• identificazione delle vulnerabilità , cioè delle modalità in cui le minacce possono concretizzarsi;
• misurazione del rischio, potenziale ed effettivo, di ogni asset.

Misurazione del rischio

Il rischio può essere definito come una funzione che lega la probabilità di accadimento di una
minaccia con l’impatto sugli asset aziendali che essa produrrebbe al suo verificarsi.

L’impatto può essere espresso in termini quantitativi (ad esempio valore a bilancio del cespite) o in
maniera qualitativa, tenendo conto di più fattori (importanza per il business, requisiti normativi,
problemi di immagine ed altro).

Dopo aver individuato e misurato il rischio occorre prendere delle decisioni sulla base di un’analisi
costi/benefici e valutare se è possibile accettare il rischio o se conviene adottare nuove misure di
sicurezza per ridurre il rischio evidenziato.

È ovvio che i rischi non possono mai essere del tutto eliminati per cui ci si trova sempre di fronte ad
un rischio residuo che va gestito attraverso delle opportune contromisure.

134

Creative Commons Attribuzione - Non commerciale 2.5 Italia License

Lezione 3 – Unità didattica 3.1

Modulo 3.1.6 – Analisi dei rischi –
metodologie disponibili in italiano
ISCOM - Istituto Superiore delle Comunicazioni e delle Tecnologie dell'Informazione

L’ISCOM ha pubblicato una serie di guida sui temi della sicurezza informatica, liberamente
scaricabili in formato pdf, tra cui:

• “Linee guida sulla sicurezza delle reti, dall’analisi del rischio alle strategie di protezione”
(pdf 141) – è un testo a taglio “teorico” che traccia una completa ricognizione dello stato
dell’arte dell’analisi dei rischi;
• “Risk analysis approfondimenti” (pdf142) – è un testo più “pratico” che fornisce esempi di
applicazioni pratiche in ambito business in particolare per liberi professionisti, studi
professionali, piccole e medie imprese.

MAGERIT

MAGERIT è una metodologia sviluppata dal governo spagnolo a partire dal '97. In italiano è
liberamente scaricabile il testo “Metodologia di analisi e gestione dei rischi dei sistemi informativi,
parte 1 - Metodo” in formato pdf 143) ove sono descritti tutti i concetti e i passaggi chiave di una
metodologia per l'analisi e la gestione dei rischi, conforme con gli standard della famiglia 27000144.

MEHARI

MEHARI (MÉthode HArmonisée d’analyse des RIsques), un approccio di analisi e gestione del
rischio informatico compatibile con le norme ISO 17799 e ISO 27001 che si deve a CLUSIF il
Club de la Sécurité de l’Information Français, cugina dell’italiana CLUSIT145 . Sul sito di CLUSIF
è disponibile una vasta documentazione146 su MEHARI in Francese ed Inglese, mentre in Italiano è
disponibile una presentazione generale della metodologia (pdf147).

CNIPA: analisi dei rischi per il DPS

L’ing. Gianfranco Pontevolpe del CNIPA (Centro Nazionale per l’Informatica nella Pubblica
Amministrazione) ha realizzato una presentazione in formato pdf148 sulla tematica specifica
dell’analisi dei rischi nell’ambito della redazione del Documento Programmatico sulla Sicurezza.

141
http://www.isticom.it/documenti/news/pub_002_ita.pdf
142
http://www.isticom.it/documenti/news/linee_guida_rischi_due.pdf
143
http://www.sgsi.net/Mageritv2%20-%20Libro%20I%20-%20Metodo.pdf
144
Segnalato da http://blog.clusit.it/sicuramente/2009/09/it-risk-management-metodologia-tradotta.html
145
http://www.clusit.it/
146
https://www.clusif.asso.fr/fr/production/ouvrages/type.asp?id=METHODES
147
https://www.clusif.asso.fr/fr/production/ouvrages/pdf/MEHARI-2007-Introduzione-metodo.pdf
148
http://www2.cnipa.gov.it/site/_contentfiles/01380000/1380039_Analisi dei rischi DPS.pdf
135

Creative Commons Attribuzione - Non commerciale 2.5 Italia License

Lezione 3 – Unità didattica 3.1

Modulo 3.1.7 – Analisi dei rischi – un
approccio semplificato

Il Garante per la protezione dei dati personali ha pubblicato, nel marzo 2004, una “Guida operativa
per redigere il Documento programmatico sulla sicurezza”149 che propone un approccio
semplificato per l’analisi dei rischi da riportare nel DPS.

Occorre:

• descrivere i principali eventi potenzialmente dannosi per la sicurezza dei dati, e valutarne
le possibili conseguenze e la gravità in relazione al contesto fisico-ambientale di riferimento
e agli strumenti elettronici utilizzati.
• descrivere l’impatto sulla sicurezza degli eventi precedentemente censiti; la valutazione di
impatto va fatta anche in relazione alla rilevanza e alla probabilità stimata dell’evento
(anche in termini sintetici: es., alta/media/bassa).

In questo modo è possibile formulare un primo indicatore omogeneo per i diversi rischi da
contrastare.

Eventi pregiudizievoli

Il Garante propone la seguente lista di eventi potenzialmente dannosi.

Contesto fisico-ambientale:

• Ingressi non autorizzati a locali/aree ad accesso ristretto
• sottrazione di strumenti contenenti dati
• eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi,
allagamenti, condizioni ambientali, ...), nonché dolosi, accidentali o dovuti ad incuria
• guasto a sistemi complementari (impianto elettrico, climatizzazione, ecc.)
• errori umani nella gestione della sicurezza fisica

Comportamenti degli operatori:

• Sottrazione di credenziali di autenticazione;
• carenza di consapevolezza;
• disattenzione o incuria;
• comportamenti sleali o fraudolenti;
• errore materiale.

Eventi relativi agli strumenti:

149
http://www.garanteprivacy.it/garante/document?ID=1007740&DOWNLOAD=true
136

Creative Commons Attribuzione - Non commerciale 2.5 Italia License

5 Italia License . 137 Creative Commons Attribuzione . indisponibilità o degrado degli strumenti.1 • Azione di virus informatici o di programmi suscettibili di recare danno.Non commerciale 2. • spamming o tecniche di sabotaggio. • intercettazione di informazioni in rete. • accessi esterni non autorizzati. Lezione 3 – Unità didattica 3. • malfunzionamento.

• ENISA159.com/feliciano_intini/default.org/ 153 http://isacaroma.technet. in lingua italiana. capitoli italiani dell’ISACA.it/ 152 http://aipsi.clusit.Non commerciale 2. l’European Network and Information Security Agency (sito in lingua inglese). Lezione 3 – Unità didattica 3.anssaif.aspx 158 http://www. l’associazione internazionale degli IS Auditor e Security Manager • ANSSAIF155 Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria • Elenco dei migliori security blog italiani156 a cura di Feliciano Intini157 Chief Security Advisor di Microsoft Italia • ComplianceNet158. sul tema della sicurezza informatica possono essere consultati i siti degli enti e delle associazioni più significative in questo ambito. Sicurezza e Privacy specie in ambito bancario.it/ 155 http://www. 150 http://www.aspx 157 http://blogs.enisa.eu/ 138 Creative Commons Attribuzione .1.it/ 159 http://www.1 Modulo 3.technet.it/ 151 http://www.Associazione Italiana di Professionisti della Sicurezza Informatica • ISACA-Roma153 ed AIEA154.compliancenet. sito dedicato ai temi della Compliance.europa.aiea.com/ 156 http://blogs.it/ 154 http://www.8 – Siti utili ed approfondimenti sulla sicurezza informatica Per approfondimenti.com/feliciano_intini/pages/recensioni-dei-security-blog-italiani.Associazione Italiana per la Sicurezza Informatica • AIPSI152 . Tra gli altri: • ISCOM150 .isticom.5 Italia License .Istituto Superiore delle Comunicazioni e delle Tecnologie dell'Informazione • CLUSIT151 .

Falso. ISO 27002 (qualità) I requisiti per la I requisiti per la La certificazione ISO non ha bisogno di certificazione sono più certificazione sono 27002 è volontaria e redigere il DPS. sicurezza sono Solo le misure minime Le “misure minime” Anche le misure obbligatorie. possibile obbligatori in materia (opzionalmente) di sicurezza in quanto adottare ulteriori vi è anche l’obbligo di misure di sicurezza adottare ogni altra misura di sicurezza idonea alla protezione dei dati (art.Non commerciale 2. del DPs. tutte le di sicurezza sono sono solo una parte minime di sicurezza altre sono facoltative obbligatorie.1 Domande di verifica 3. Falso. obbligatorio inserire Si tratta di uno degli L’analisi dei rischi è Le “semplificazioni” l’analisi dei rischi sui elementi obbligatori obbligatoria solo se si del Garante hanno dati personali. Lezione 3 – Unità didattica 3. Falso. È tuttavia degli accorgimenti sono opzionali. Una azienda certificata Vero. obblighi del Codice. Falso.5 Italia License . 139 Creative Commons Attribuzione . Parzialmente vero.1 Domanda Seconda risposta Terza risposta Le misure minime di Vero. stringenti degli meno stringenti degli non ha nulla a che fare obblighi del Codice. 31). Nel DPS è Vero. Falso. con gli obblighi di legge. trattano dati sensibili eliminato con elaboratori l’obbligatorietà accessibili al pubblico dell’analisi dei rischi.

Lezione 3 – Unità didattica 3.5 Italia License .1 Pagina lasciata intenzionalmente bianca 140 Creative Commons Attribuzione .Non commerciale 2.

2.5 Italia License .4 – Un esempio di DPS (con licenza aperta) Modulo 3.8 – Analisi dei rischi che incombono sui dati Modulo 3.7 – Distribuzione dei compiti e delle responsabilità Modulo 3.2. Lezione 3 – Unità didattica 3.2.6 – Elenco dei trattamenti di dati personali Modulo 3.2 – Il Documento Programmatico sulla Sicurezza Modulo 3.2.2.2 141 Creative Commons Attribuzione .Non commerciale 2.2.2.11 – Pianificazione degli interventi formativi previsti Modulo 3.12 – Trattamenti affidati all’esterno Modulo 3.1 – Domande frequenti sul DPS Modulo 3.2 Lezione 3 – Unità didattica 3.2.13 – Adempimenti per la funzione di amministratore di sistema Domande di verifica 3.10 – Criteri e modalità di ripristino della disponibilità dei dati Modulo 3.9 – Misure in essere Modulo 3.3 – DPS – le novità normativa del 2009 Modulo 3.2.2.2.2.2 – Tipologie di DPS Modulo 3.2.5 – Analisi preliminare dell’azienda Modulo 3.

2 Modulo 3. ente o associazione che sia titolare di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici deve redigere ed aggiornare per iscritto entro il 31 marzo di ogni anno un documento che riporti le misure di sicurezza adottate o che si programma di adottare per la tutela di tali trattamenti.5 Italia License . n.196): • l'elenco dei trattamenti di dati personali. senza indicazione della diagnosi. Chi deve redigere il DPS? Il DPS cade sotto la responsabilità del titolare (cioè del legale rappresentante dell’azienda o ente). “Disciplinare tecnico in materia di misure minime di sicurezza”160.). • la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati.. regola 19 dell’Allegato B)).garanteprivacy. Che contenuti deve avere il DPS? Il DPS deve contenere..jsp?ID=488497 142 Creative Commons Attribuzione . L’obbligo della redazione del DPS è stato abrogato. in conformità al codice. del Codice. e non oltre il 31 marzo di ogni anno.1 – Domande frequenti sul DPS Cos’è il Documento Programmatico sulla Sicurezza (DPS)? Qualunque azienda. PA. • la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento (. nonché la protezione delle aree e dei locali.. Quando va redatto o aggiornato il DPS? Annualmente.Non commerciale 2. l'azienda deve aggiornare il proprio “Documento Programmatico sulla Sicurezza”. rilevanti ai fini della loro custodia e accessibilità. 160 http://www. • la previsione di interventi formativi degli incaricati del trattamento (. lett. • la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati. ufficio o persona fisica a ciò legittimata in base all’ordinamento aziendale o della pubblica amministrazione interessata (art. all'esterno della struttura del titolare. comma 1. del D. Lgs.112.. 34. Lezione 3 – Unità didattica 3. • l'analisi dei rischi che incombono sui dati.2. per tutte le aziende che non trattano dati sensibili o che trattano solo dati sensibili inerenti salute e malattia dei propri dipendenti. mediante il Decreto Legge 25 giugno 2008 n. al minimo (regola 19 dell’allegato B.it/garante/doc. questi può farsi coadiuvare nella redazione del Documento da un organo. g). • le misure da adottare per garantire l'integrità e la disponibilità dei dati.).

avuto riguardo alle conoscenze acquisite in base al progresso tecnico. Posso adottare solo le misure minime di sicurezza? Il Garante rispondendo nel marzo 2004 ad un quesito formulato da Confindustria (“Obblighi di sicurezza e documento programmatico”162) scrive: “In particolare è stato confermato il principio (evidenziato con maggiore chiarezza dalle nuove disposizioni) secondo cui le misure minime.jsp?ID=771307 143 Creative Commons Attribuzione .Non commerciale 2.it/garante/document?ID=1007740&DOWNLOAD=true 162 http://www. È obbligatorio utilizzare il fac-simile di DPS del Garante? No. come già previsto dalla legge n.garanteprivacy. l'Ufficio del Garante ha posto a disposizione degli operatori una guida per redigere e aggiornare il documento programmatico sulla sicurezza. oltre alle cosiddette "misure minime".5 Italia License . 31). dispersi anche accidentalmente. non si dimostri di aver adottato tutte le misure idonee ad evitarlo (artt. di cui si devono valutare comunque i rischi (art. In materia. davanti al giudice ordinario. 15 e 152 del Codice). Lezione 3 – Unità didattica 3. l’obbligo più generale di ridurre al minimo determinati rischi. costituisce 161 http://www. comma 3. viola inoltre i loro diritti. l’inosservanza di questo obbligo rende il trattamento illecito anche se non si determina un danno per gli interessati. del Codice). nell’ambito del predetto obbligo più generale. si distinguono due distinti obblighi: a.2 Inoltre a seguito della pubblicazione del provvedimento del Garante relativo agli “Amministratori di sistema” del novembre 2008occorre allegare al DPS: • l’elenco degli amministratori di sistema. compreso il diritto fondamentale alla protezione dei dati personali che può essere esercitato nei confronti del titolare del trattamento (artt. 1 e 7. di importanza tale da indurre il legislatore a prevedere anche una sanzione penale. le cui modalità sono specificate tassativamente nell’Allegato B) del Codice. Dove posso trovare un facsimile di DPS? Nel giugno 2004 il Garante per la protezione dei dati personali ha pubblicato una “Guida operativa per redigere il Documento programmatico sulla sicurezza”161 che può essere utilizzato come fac-simile. soprattutto nelle realtà piccole e medie dimensioni. l’obbligo di adottare ogni altra misura di sicurezza idonea a fronteggiare le predette evenienze. il dovere di adottare in ogni caso le "misure minime". alla natura dei dati e alle caratteristiche del trattamento. b. ed espone a responsabilità civile per danno anche non patrimoniale qualora. sono solo una parte degli accorgimenti obbligatori in materia di sicurezza (art. 675/1996. Cosa si rischia nel non adottare le "misure minime"? Il Codice conferma l’impianto secondo il quale l’omessa adozione di alcune misure indispensabili (“minime”). La guida è stata semplificata sulla base dei commenti pervenuti all'esito della consultazione pubblica ed è utilizzabile facoltativamente.garanteprivacy.it/garante/doc. Resta in vigore. 33 del Codice). Come in passato. conoscibili fuori dei casi consentiti o altrimenti trattati in modo illecito. Occorre custodire e controllare i dati personali oggetto di trattamento per contenere nella misura più ampia possibile il rischio che i dati siano distrutti.

Come accennato. Il DPS è una misura minima per chi vi è tenuto? Sì. comma 1." 144 Creative Commons Attribuzione . nel DPS occorre descrivere ora i criteri e le modalità per ripristinare la disponibilità dei dati in caso di distruzione o danneggiamento delle informazioni o degli strumenti elettronici. attraverso l’organo. a differenza del passato. la misura minima del DPS deve essere ora adottata dal titolare di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici. da chi trattava dati sensibili o giudiziari.5 Italia License .2. il DPS deve essere redatto da alcuni soggetti che non vi erano precedentemente tenuti (ad esempio. attraverso l’obbligo di riferire nella relazione di accompagnamento a ciascun bilancio di esercizio circa l’avvenuta redazione o aggiornamento del DPS che sia obbligatorio come misura "minima" o che sia stato comunque adottato (regola 26 Allegato B)). l’art. art. ente o altro organismo titolare del trattamento (art. ma con elaboratori non accessibili mediante una rete di telecomunicazioni disponibili al pubblico). lett. il Codice ha introdotto una nuova regola per rendere meglio edotti gli organi di vertice del titolare del trattamento e responsabilizzarli in materia di sicurezza. 2.1 Anche la redazione del DPS è una "misura minima". 4 del Codice). la categoria dei dati giudiziari è oggi rappresentata anche da altri dati personali. regola 19 dell’Allegato B)). Anche questa menzione rappresenta una misura "minima" nuova. Inoltre. lett. Infine.2 anche reato. Scrive il Garante: 2.Non commerciale 2. va conservato presso il Titolare (o il Responsabile se nominato). è possibile l’eventuale “ravvedimento operoso” di chi adempie puntualmente alle prescrizioni impartite dal Garante una volta accertato il reato ed effettua un pagamento in sede amministrativa. la volontà della società. ottenendo così l’estinzione del reato. In base al nuovo Codice. 4. Ad esempio. indicata tra quelle di "tutela e garanzia" (regole 25 e 26). Il DPS va inviato al Garante? No. riferiti ad esempio a provvedimenti giudiziari non definitivi o alla semplice qualità di imputato o indagato (v. prevista dall’Allegato B).8 e 24 dell’Allegato B)). Si tratta di una misura non nuova. occorre individuare poi i criteri da adottare per cifrare o per separare i dati idonei a rivelare lo stato di salute e la vita sessuale trattati da organismi sanitari ed esercenti le professioni sanitarie (regole 19. in base al proprio ordinamento interno. comma 1. sebbene sia aumentato il numero dei soggetti che deve redigere il DPS e sia parzialmente diverso il suo necessario contenuto. del Codice. 34. Perché va citato il DPS nella relazione accompagnatoria al bilancio d’esercizio? Scrive il Garante: "Premesso che le scelte di fondo sulle modalità di trattamento sotto il profilo della sicurezza competono alle persone e agli organi legittimati ad adottare decisioni ed esprimere a vari livelli. 169 del Codice prevede l’arresto sino a due anni o l’ammenda da 10 mila euro a 50 mila euro. il contenuto stesso del DPS è arricchito da nuovi elementi che si aggiungono a quelli necessari in base alla precedente disciplina o ne specificano alcuni aspetti. Lezione 3 – Unità didattica 3. ufficio o persona fisica a ciò legittimata in base all’ordinamento aziendale o della pubblica amministrazione interessata (art. g). del Codice). f).

in conformità al codice.U. n..).jsp?ID=1311248 164 http://www. 232 K.it/garante/document?ID=1007740&DOWNLOAD=true 166 http://www.garanteprivacy.jsp?ID=1412271 145 Creative Commons Attribuzione . comunque. del D. 163 http://www. non dotate al proprio interno di competenze specifiche (nota 1).2 – Tipologie di DPS Il primo gennaio 2004 è entrato in vigore il “Codice in materia di protezione dei dati personali”163. Nota 1) Nelle strutture di piccole dimensioni dove possono mancare specifiche competenze. 34.. 21 giugno 2007 n.it/garante/doc. L’11 giugno 2004 il Garante per la protezione dei dati personali ha pubblicato una “Guida operativa per redigere il Documento programmatico sulla sicurezza” (pdf165. ma non è obbligatorio utilizzarla per adempiere all’obbligo.it/garante/doc. La guida può essere di ausilio nella redazione del DPS. Lgs. “Disciplinare tecnico in materia di misure minime di sicurezza”164 . • le misure da adottare per garantire l'integrità e la disponibilità dei dati. • la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento (. rilevanti ai fini della loro custodia e accessibilità.2. • la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati.. • l'analisi dei rischi che incombono sui dati.. in caso di trattamento di dati sensibili e giudiziari attraverso sistemi informatici deve essere redatto il documento programmatico sulla sicurezza (art. 142) che per quanto riguarda il DPS recita: “In base alla vigente disciplina.2 Modulo 3. al minimo (regola 19 dell’allegato B.” Il 24 maggio 2007 Il Garante ha pubblicato una “Guida pratica e misure di semplificazione per le piccole e medie imprese”166 (G.).garanteprivacy. nonché la protezione delle aree e dei locali. Lezione 3 – Unità didattica 3.5 Italia License .garanteprivacy. • la previsione di interventi formativi degli incaricati del trattamento (. Il “Codice” all’articolo 34. all'esterno della struttura del titolare. • la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati.jsp?ID=1557184 165 http://www.it/garante/doc. si può anche chiedere consultare per alcuni profili tecnici il fornitore/installatore degli strumenti elettronici e del relativo software. Dice il Garante nella premessa al facsimile: “La presente guida mira a facilitare l’adempimento dell’obbligo di redazione del documento programmatico sulla sicurezza (DPS) nelle organizzazioni di piccole e medie dimensioni o.garanteprivacy.196: • l'elenco dei trattamenti di dati personali. punto g) recita che il titolare di “Trattamenti con strumenti elettronici” è obbligato alla “tenuta di un aggiornato documento programmatico sulla sicurezza”. Il Documento Programmatico sulla Sicurezza (DPS) deve contenere. 17 pp).Non commerciale 2.

195 del 21 agosto 2008 .2 comma 1. il Garante. a far data dal 11 giugno 2004.jsp?ID=1571218 146 Creative Commons Attribuzione . liberi professionisti e artigiani.5. in particolare presso liberi professionisti.interlex. 133: "Trattamento dei dati personali 1. del decreto-legge 25 giugno 2008. dopo il comma 1 è aggiunto il seguente: « 1-bis. Documento programmatico sulla sicurezza (modalità applicative delle regole di cui ai punti da 19.it/testi/l08_133.5 Italia License . n. pubblicato in Gazzetta Ufficiale il 9 dicembre 2008. la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di autocertificazione. i soggetti pubblici e privati che trattano dati personali unicamente per correnti finalità amministrative e contabili. 196 (entrata in vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale. resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000.5.) viene però modificato il “Codice” proprio all’articolo 34 (richiamato sopra) semplificando gli “adempimenti” relativi al DPS per alcune categorie di titolari. Con l’articolo numero 29 della legge 6 agosto 2008. con modificazioni. GU n. di cui al decreto legislativo 30 giugno 2003. Infine il 27 novembre 2008 con un provvedimento a carattere generale dal titolo “Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali”168.Suppl. una Guida operativa”. modalità semplificate di applicazione del disciplinare tecnico di cui all'Allegato B) in ordine all'adozione delle misure minime di cui al comma 1». Lezione 3 – Unità didattica 3. di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. All'articolo 34 del codice in materia di protezione dei dati personali. n. Recita il provvedimento: 2. da aggiornare periodicamente. individua con proprio provvedimento. n. Recita l’articolo 29 della legge 6 agosto 2008. con particolare riguardo alle piccole e medie imprese– ha già reso disponibile on-line. sentito il Ministro per la semplificazione normativa. recante disposizioni urgenti per lo sviluppo economico. 445.htm 168 http://www. Ordinario n. n. 112. la competitività. senza indicazione della relativa diagnosi.1 a 19. nonché a trattamenti comunque effettuati per correnti finalità amministrative e contabili.Non commerciale 2.it/garante/doc. la stabilizzazione della finanza pubblica e la perequazione tributaria”167 . possono 167 http://www.garanteprivacy. 133. “Conversione in legge. il Garante ha individuato modalità semplificate di applicazione delle misure minime di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto. la semplificazione. ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale. lett. 196. In relazione a tali trattamenti. Si può tener conto dei suggerimenti già formulati dal Garante che –recependo le esigenze e le istanze peculiari di professionisti e piccoli operatori. Tra le modalità semplificate vi è anche una "semplificazione" per il DPS. Fermo restando che per alcuni casi è già previsto per disposizione di legge che si possa redigere un'autocertificazione in luogo del documento programmatico sulla sicurezza (…). in particolare presso piccole e medie imprese. artigiani e piccole e medie imprese. n.8 dell'Allegato B)) 2.1. g) e regola 19 dell'Allegato B al Codice).

445. 133 recepito come comma unici dati sensibili quelli resa dal titolare del 1-bis all’articolo 34 del costituiti dallo stato di salute o trattamento ai sensi "Codice in materia di malattia dei propri dipendenti e dell'articolo 47 del testo unico protezione dei dati collaboratori anche a progetto. sensibili e che trattano come da una autocertificazione.196). nel caso in cui l'organizzazione preveda una frequente modifica dei responsabili designati. Il documento deve avere i seguenti contenuti: • le coordinate identificative del titolare del trattamento.5 Italia License . degli incaricati del trattamento e delle relative responsabilità. Tipo di titolare Tipologia di DPS Riferimento normativo Soggetti che trattano dati Non è richiesta la tenuta del Codice in materia di personali senza l’ausilio di DPS protezione dei dati strumenti elettronici personali (D. n. Il documento deve essere redatto prima dell'inizio del trattamento e deve essere aggiornato entro il 31 marzo di ogni anno nel caso in cui. n. di cui al decreto del personali" senza indicazione della relativa Presidente della Repubblica diagnosi. nonché i destinatari o le categorie di destinatari a cui i dati possono essere comunicati. in tale descrizione vanno precisate le finalità del trattamento. gli eventuali responsabili. • l'elenco. che permetta di valutare l'adeguatezza delle misure adottate per garantire la sicurezza del trattamento. potranno essere indicate le modalità attraverso le quali è possibile individuare l'elenco aggiornato dei responsabili del trattamento con le relative responsabilità. del Documento Programmatico sulla Sicurezza alla data odierna (5 ottobre 2009) le casistiche possibili sono (in ordine crescente di adempimenti richiesti). osservanza delle altre misure 147 Creative Commons Attribuzione . ovvero dall'adesione ad 28 dicembre 2000. anche accidentale. le categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime. Lgs. dei dati. • una descrizione generale del trattamento o dei trattamenti realizzati. ed aggiornamento. anche per categorie. se designati.2 redigere un documento programmatico sulla sicurezza semplificato sulla base delle indicazioni di seguito riportate. In sintesi In sintesi. di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. • una descrizione delle altre misure di sicurezza adottate per prevenire i rischi di distruzione o perdita. di organizzazioni sindacali o a trattare soltanto tali dati in carattere sindacale.Non commerciale 2. siano intervenute modifiche rispetto a quanto dichiarato nel precedente documento. potranno essere indicate le modalità attraverso le quali è possibile individuare l'elenco aggiornato dei responsabili del trattamento. nel caso in cui l'organizzazione preveda una frequente modifica dei responsabili designati. articolo 34 Per i soggetti che trattano Decade l’obbligo della tenuta Articolo numero 29 della soltanto dati personali non del DPS che viene sostituito legge 6 agosto 2008. rispetto all’obbligo di redazione. Lezione 3 – Unità didattica 3. nonché. nel corso dell'anno solare precedente. n.

punto g.196). Lgs. Tutti gli altri titolari non Documento Programmatico Codice in materia di rientranti nelle tipologie di cui al sulla Sicurezza completo protezione dei dati punto precedente. in particolare presso base delle indicazioni B) al Codice in materia di liberi professionisti. del D. comunque. Lgs. regola 19 dell’allegato B. 2004 punto precedente. n.196 148 Creative Commons Attribuzione . nell’allegato B. n. secondo le indicazioni personali (D. di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali" del 27 novembre 2008 Organizzazioni di piccole e Facsimile di DPS come "Guida operativa per medie dimensioni o. artigiani e riportate nel provvedimento a protezione dei dati piccole e medie imprese e non carattere generale dal titolo personali" del 27 rientranti nella tipologia di cui al "Semplificazione delle misure novembre 2008 punto precedente. Nota bene: non è obbligatorio utilizzare tale facsimile. riportate nel Codice e articolo 34.2 di sicurezza prescritte Soggetti pubblici e privati che Tali soggetti possono redigere "Semplificazione delle trattano dati personali un documento misure di sicurezza unicamente per correnti programmatico sulla contenute nel disciplinare finalità amministrative e sicurezza semplificato sulla tecnico di cui all'Allegato contabili. Lezione 3 – Unità didattica 3.5 Italia License . illustrato nella "Guida redigere il Documento non dotate al proprio interno di operativa per redigere il programmatico sulla competenze specifiche e non Documento programmatico sicurezza" dell’11 giugno rientranti nelle tipologie di cui al sulla sicurezza". "Disciplinare tecnico in materia di misure minime di sicurezza.Non commerciale 2.

Amministratore di sistema Si tratta del provvedimento “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”169 del 27 novembre 2008. Le principali novità normative ed i relativi adempimenti di cui bisogna tener conto nell’aggiornamento del DPS per il 2009 sono: • amministratore di sistema. • i nuovi reati introdotti nel d. in G. Nel paragrafo dedicato alla "Previsione di interventi formativi degli incaricati del trattamento"è opportuno indicare i corsi sulla sicurezza o sulla privacy che i famosi amministratori di sistema (se necessario) seguiranno (o hanno già seguito) per "dimostrare" che essi sono “idonei” a ricoprire tale incarico.U. 169 http://www. Ricordiamo che la “lista degli amministratori di sistema” è a sua volta un trattamento e quindi va inserito nel censimento allegato al DPS. n.jsp?ID=1577499 149 Creative Commons Attribuzione . Per i trattamenti iniziati prima di tale data la lista va prodotta entro il 15 dicembre 2009. Per quanto riguarda l’aggiornamento del DPS occorre allegare a quest’ultimo la lista degli amministratori già nominati cioè gli amministratori di trattamenti iniziati dopo il 25 gennaio 2009.2 Modulo 3. 300 del 24 dicembre 2008 di cui abbiamo già ampiamente parlato. 231/01 in materia di violazione del diritto di autore. lgs.garanteprivacy. • semplificazione notificazione.5 Italia License .2. Infine nel capitolo relativo alla “Descrizione dei criteri adottati (…) per i di trattamenti di dati personali affidati all'esterno della struttura del titolare” vanno indicati quali outsourcer hanno (già) nominato e comunicato la lista degli amministratori. • rottamazione PC ed affini. aggiornamento delle lettere di incarico. ecc. Se sono state adottate nuove misure di sicurezza non già indicate nella precedente versione del DPS (ad esempio nuovi log in relazione agli adempimenti richiesti per l’amministratore di sistema) questa vanno riportate nel paragrafo del DPS a ciò deputato. Analogamente va aggiornato il paragrafo “Distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati” con indicazione di quanto attuato in relazione a tale adempimento (nuove nomine. • semplificazione delle misure di sicurezza. Lezione 3 – Unità didattica 3.Non commerciale 2. • legge 18 marzo 2008 sui crimini informatici.).it/garante/doc.3 –DPS – le novità normativa del 2009 Nel corso del 2009 il corpus normativo sulla privacy è stato modificato in modo significativo.

Nel caso in cui l'organizzazione preveda una frequente modifica dei responsabili designati.Non commerciale 2. • una descrizione generale del trattamento o dei trattamenti realizzati. • devono aggiornare i programmi di sicurezza (antivirus) almeno una volta l'anno. 287 del 9 dicembre 2008 che riguarda: • amministrazioni pubbliche e società private che utilizzano dati personali non sensibili (nome. Misure di sicurezza In base al provvedimento del Garante.U. lo username deve essere disattivato quando viene meno il diritto di accesso ai dati (es. in G.2 Semplificazione delle misure di sicurezza Si tratta del provvedimento “Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali”170 del 27 novembre 2008. codice fiscale. n. cognome.it/garante/doc. nonché. le categorie di persone interessate e 170 http://www. numero di telefono) o che trattano come unici dati sensibili dei dipendenti quelli relativi allo stato di salute o all'adesione a organizzazioni sindacali. alcune indicazioni per la redazione di un documento programmatico per la sicurezza semplificato: questo deve essere redatto prima dell'inizio del trattamento e deve essere aggiornato entro il 31 marzo di ogni anno nel caso in cui. In tale descrizione vanno precisate le finalità del trattamento. gli eventuali responsabili. liberi professionisti o artigiani che trattano dati solo per fini amministrativi e contabili. che permetta di valutare l'adeguatezza delle misure adottate per garantire la sicurezza del trattamento. indirizzo. Il DPS semplificato deve avere i seguenti contenuti: • le coordinate identificative del titolare del trattamento. potranno essere indicate le modalità attraverso le quali è possibile individuare l'elenco aggiornato dei responsabili del trattamento. DPS semplificato Con il provvedimento. nel corso dell'anno solare precedente. • piccole e medie imprese. le categorie interessate: • possono impartire agli incaricati le istruzioni in materia di misure minime anche oralmente. liberi professioni. siano intervenute modifiche rispetto a quanto dichiarato nel precedente documento. soggetti pubblici e privati che trattano dati solo a fini amministrativi e contabili. inoltre.garanteprivacy. • in caso di assenze prolungate o di impedimenti del dipendente possono mettere in atto procedure o modalità che consentano comunque l'operatività e la sicurezza del sistema ( ad es.5 Italia License . il Garante ha fornito a piccole e medie imprese. artigiani. Lezione 3 – Unità didattica 3.jsp?ID=1571218 150 Creative Commons Attribuzione . non si opera più all'interno dell'organizzazione). se designati. l'invio automatico delle mail ad un altro recapito accessibile). • possono utilizzare per l'accesso ai sistemi informatici un qualsiasi sistema di autenticazione basato su un username e una password. e effettuare backup dei dati almeno una volta al mese.

degli atti e dei documenti contenenti dati personali. G. anche per categorie.garanteprivacy. impregiudicati eventuali accordi che prevedano diversamente. nonché i destinatari o le categorie di destinatari a cui i dati possono essere comunicati. • Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti. del Codice).5 Italia License . e sono restituiti al termine delle operazioni affidate.2 dei dati o delle categorie di dati relativi alle medesime. Semplificazione notificazione Si tratta del provvedimento “Semplificazione al modello per la notificazione al Garante”171 del 22 ottobre 2008 . in G.garanteprivacy. considerato anche che. anche accidentale.jsp?ID=1571196 172 http://www.it/garante/doc. tale “descrizione generale” deve essere coerente con quanto riportato nel DPS. ciò.U. Modalità applicative “semplificate” per i trattamenti realizzati senza l'ausilio di strumenti elettronici • Agli incaricati sono impartite. anche oralmente. Rottamazione PC ed affini Si tratta del provvedimento “Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali”172 del 13 ottobre 2008. i medesimi atti e documenti sono controllati e custoditi dai medesimi incaricati fino alla restituzione in modo che a essi non accedano persone prive di autorizzazione. per chi fa la notifica. • l'elenco. degli incaricati del trattamento e delle relative responsabilità. 287 del 9 dicembre 2008. Senza entrare nel merito di chi e per quali trattamenti deve fare la notifica qui si sottolinea semplicemente che le nuove “indicazioni” del provvedimento di cui sopra richiedono al punto f) una descrizione generale che permetta di valutare in via preliminare l'adeguatezza delle misure adottate per garantire la sicurezza del trattamento. n. 287 del 9 dicembre 2008 . 171 http://www. • una descrizione delle altre misure di sicurezza adottate per prevenire i rischi di distruzione o perdita. di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. produttori. a specifici obblighi di distruzione dei dati personali eventualmente memorizzati nelle apparecchiature elettriche ed elettroniche a essi consegnate.Non commerciale 2. Il Garante richiede che ogni titolare del trattamento deve adottare appropriate misure organizzative e tecniche volte a garantire la sicurezza dei dati personali trattati e la loro protezione anche nei confronti di accessi non autorizzati che possono verificarsi in occasione della dismissione dei menzionati apparati elettrici ed elettronici (artt.it/garante/doc.jsp?ID=1571514 151 Creative Commons Attribuzione . Nel caso in cui l'organizzazione preveda una frequente modifica dei responsabili designati. istruzioni finalizzate al controllo e alla custodia.U. dei dati. in base alla particolare disciplina di settore. distributori e centri di assistenza di apparecchiature elettriche ed elettroniche non risultano essere soggetti. n. Lezione 3 – Unità didattica 3. È ovvio che. 31 ss. potranno essere indicate le modalità attraverso le quali è possibile individuare l'elenco aggiornato dei responsabili del trattamento con le relative responsabilità. per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento.

231/01 in materia di violazione del diritto di autore Nel luglio 2009 il D. lgs.Non commerciale 2.5 Italia License . 7) il decreto legislativo 8 giugno 2001. e norme di adeguamento dell’ordinamento interno”173 che ha introdotto nuovi adempimenti per la sicurezza informatica in quanto ha modificato (art. dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico • 617-quater: intercettazione.com/2009/07/ddl-s1195-b-disposizioni-per-lo. impedimento o interruzione illecita di comunicazioni informatiche o telematiche • 617-quinquies: installazione di apparecchiature atte ad intercettare. n.parlamento. dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità • 635-quater: danneggiamento di sistemi informatici o telematici • 640-quinquies: truffa del certificatore di firma elettronica I nuovi reati introdotti nel d. 231/2001 è stato modificato con l’introduzione dell’art 25-novies in materia di violazione del diritto di autore che riguarda i seguenti reati174. Legge 18 marzo 2008 sui crimini informatici Si tratta della “Legge 18 marzo 2008. 173 http://www. impedire o interrompere comunicazioni informatiche o telematiche • 635-bis: danneggiamento di informazioni. Lezione 3 – Unità didattica 3. 48 . fatta a Budapest il 23 novembre 2001. dati e programmi informatici • 635-ter: danneggiamento di informazioni. lgs.complianceaziendale.htm 174 tratto da: http://www. n. mediante l’adozione delle misure da lui indicate (allegato A e allegato B rispettivamente) nello stesso provvedimento. Di seguito l’elenco dei reati informatici trattati da questa legge."Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica.it/parlam/leggi/08048l. n. 231 (la cosiddetta “Responsabilità amministrativa delle imprese”).html 152 Creative Commons Attribuzione .2 In pratica il Garante vuole che siano prevenuti accessi non consentiti ai dati personali memorizzati nelle apparecchiature elettriche ed elettroniche destinate a essere: • reimpiegate o riciclate • smaltite. • 420: attentato a impianti di pubblica utilità compreso il danneggiamento o la distruzione di sistemi informatici o telematici di pubblica utilità • 491-bis: falsità in un documento informatico pubblico o privato • 615-ter: accesso abusivo ad un sistema informatico o telematico • 615-quater: detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici • 615-quinquies: diffusione di apparecchiature. 10) sia il “Codice in materia di protezione dei dati personali” sia (art.

Lezione 3 – Unità didattica 3.2

• art. 171, l. 633/1941 comma 1 lett a) bis: messa a disposizione del pubblico, in un sistema
di reti telematiche, mediante connessioni di qualsiasi genere, di un'opera dell'ingegno
protetta, o di parte di essa;
• art. 171, l. 633/1941 comma 3: reati di cui al punto precedente commessi su opere altrui
non destinate alla pubblicazione qualora ne risulti offeso l’onore o la reputazione;
• art. 171-bis l. 633/1941 comma 1: abusiva duplicazione, per trarne profitto, di programmi
per elaboratore; importazione, distribuzione, vendita o detenzione a scopo commerciale o
imprenditoriale o concessione in locazione di programmi contenuti in supporti non
contrassegnati dalla SIAE; predisposizione di mezzi per rimuovere o eludere i dispositivi di
protezione di programmi per elaboratori;
• art. 171-bis l. 633/1941 comma 2: riproduzione, trasferimento su altro supporto,
distribuzione, comunicazione, presentazione o dimostrazione in pubblico, del contenuto di
una banca dati; estrazione o reimpiego della banca dati; distribuzione, vendita o concessione
in locazione di banche di dati;
• art. 171-ter l. 633/1941: abusiva duplicazione, riproduzione, trasmissione o diffusione in
pubblico con qualsiasi procedimento, in tutto o in parte, di opere dell'ingegno destinate al
circuito televisivo, cinematografico, della vendita o del noleggio di dischi, nastri o supporti
analoghi o ogni altro supporto contenente fonogrammi o videogrammi di opere musicali,
cinematografiche o audiovisive assimilate o sequenze di immagini in movimento; opere
letterarie, drammatiche, scientifiche o didattiche, musicali o drammatico musicali,
multimediali, anche se inserite in opere collettive o composite o banche dati; riproduzione,
duplicazione, trasmissione o diffusione abusiva, vendita o commercio, cessione a qualsiasi
titolo o importazione abusiva di oltre cinquanta copie o esemplari di opere tutelate dal diritto
d'autore e da diritti connessi; immissione in un sistema di reti telematiche, mediante
connessioni di qualsiasi genere, di un'opera dell'ingegno protetta dal diritto d'autore, o parte
di essa;
• art. 171-septies l. 633/1941: mancata comunicazione alla SIAE dei dati di identificazione
dei supporti non soggetti al contrassegno o falsa dichiarazione;
• art. 171-octies l. 633/1941: fraudolenta produzione, vendita, importazione, promozione,
installazione, modifica, utilizzo per uso pubblico e privato di apparati o parti di apparati atti
alla decodificazione di trasmissioni audiovisive ad accesso condizionato effettuate via etere,
via satellite, via cavo, in forma sia analogica sia digitale.

153

Creative Commons Attribuzione - Non commerciale 2.5 Italia License

Lezione 3 – Unità didattica 3.2

Modulo 3.2.4 – Un esempio di DPS (con
licenza aperta)

Nei moduli che seguono, in questa unità didattica, redigeremo il “Documento Programmatico sulla
Sicurezza” di un’azienda “fittizia”: si tratta di una media impresa manifatturiera, la
Arcobaleni196175 srl che abbiamo già conosciuto grazie ai nostri casi di studio.
Questo DPS era già stato realizzato per un articolo176 pubblicato sul sito ComplianceNet nel marzo
2009.

Questo DPS si basa sulla “Guida operativa per redigere il Documento programmatico sulla
sicurezza”177 pubblicata nel giugno 2004 dal Garante per la protezione dei dati personali.

“La presente guida” scrive il Garante “mira a facilitare l’adempimento dell’obbligo di
redazione del documento programmatico sulla sicurezza (DPS) nelle organizzazioni di piccole
e medie dimensioni o, comunque, non dotate al proprio interno di competenze specifiche. La
guida può essere di ausilio nella redazione del DPS, ma non è obbligatorio utilizzarla per
adempiere all’obbligo.
La guida è strutturata in due parti: la prima contiene istruzioni per sviluppare il DPS negli
aspetti descrittivi oppure nella compilazione di alcune tabelle riportate nella seconda parte.
Nella guida sono anche evidenziati altri elementi utilizzabili facoltativamente - comprese
alcune tabelle - che si ritengono utili per una più approfondita definizione del DPS.”

Guida alla lettura
Il “modello” di DPS è articolato in capitoli seguendo il modello proposto dal Garante. Ogni capitolo
si riferisce ad uno dei punti indicati come obbligatori alla regola 19 dell’allegato B, “Disciplinare
tecnico in materia di misure minime di sicurezza”178, al “Codice in materia di protezione dei dati
personali179” (si noti che il punto 19.8 non è però applicabile in quanto si riferisce alle aziende
esercenti professioni sanitarie).
Oltre a tali capitoli sono stati inseriti:

• un capitolo iniziale (non numerato) che riporta le principali variazioni rispetto alla
precedente edizione del DPS
• un secondo capitolo (non numerato) che descrive brevemente la società;

175
http://www.arcobaleni196.it
176
http://www.compliancenet.it/content/privacy-aggiornamento-2009-esempio-dps-per-pmi-con-licenza-aperta
177
http://www.garanteprivacy.it/garante/document?ID=1007740&DOWNLOAD=true
178 http://www.garanteprivacy.it/garante/doc.jsp?ID=488497
179
http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
154

Creative Commons Attribuzione - Non commerciale 2.5 Italia License

Lezione 3 – Unità didattica 3.2

• un capitolo finale (numerato) che comprende allegati, modulistica e documenti di
approfondimento.

Contenuti fondamentali del DPS

Il DPS deve contenere, al minimo (regola 19 dell’allegato B, “Disciplinare tecnico in materia di
misure minime di sicurezza”180, del D. Lgs. n.196:

• l'elenco dei trattamenti di dati personali;
• la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al
trattamento dei dati;
• l'analisi dei rischi che incombono sui dati;
• le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione
delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
• la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in
seguito a distruzione o danneggiamento (...);
• la previsione di interventi formativi degli incaricati del trattamento (...);
• la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di
sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno
della struttura del titolare.

Tabella 1: Contenuti fondamentali del DPS

Anche il modello di DPS è rilasciato con licenza aperta “Creative Commons Attribuzione - Non
commerciale 2.5 Italia License181”

180 http://www.garanteprivacy.it/garante/doc.jsp?ID=488497
181
http://creativecommons.org/licenses/by-nc/2.5/it/legalcode
155

Creative Commons Attribuzione - Non commerciale 2.5 Italia License

Lezione 3 – Unità didattica 3.2

Modulo 3.2.5 – Analisi preliminare
dell’azienda
Nella redazione “ex novo” del DPS il punto di partenza consiste in una “analisi preliminare”, volta
a fare “il punto della situazione” rispetto agli adempimenti privacy. È opportuno predisporre una
breve descrizione sintetica della società (ed eventualmente, se opportuno, del “gruppo” di
appartenenza). A riguardo è possibile utilizzare documenti già redatti per altre finalità quali
redazione del bilancio, verifiche di qualità, eccetera.

Documenti utili per l’analisi preliminare e la redazione del DPS

• organigramma;
• breve descrizione dei sistemi informativi;
• nota integrativa al bilancio che descrive mission ed il business aziendale;
• notificazione al Garante (eventualmente anche relativa alla precedente legge 675/96) se
effettuata;
• documenti predisposti dal servizio “Qualità”;
• relazioni scritte da enti interni o esterni di verifica e controllo (revisori dei conti, enti
certificatori, ecc.);
• pubblicazioni aziendali (brochure, listino prodotti, newsletter);
• sito web aziendale.

Tabella 2: Documenti utili per l’analisi preliminare e la redazione del DPS

È ovviamente opportuno visitare l’azienda, i reparti produttivi, gli uffici più importanti.

156

Creative Commons Attribuzione - Non commerciale 2.5 Italia License

Lezione 3 – Unità didattica 3.2

Modulo 3.2.6 – Elenco dei trattamenti di
dati personali
I contenuti di questo modulo sono disponibili nella Lezione 2 - Unità didattica 2.3 –
Organizzazione della privacy nei seguenti moduli:

• Modulo 2.3.1 – Il censimento dei dati personali
• Modulo 2.3.2 – Il censimento dei dati personali – elementi da catalogare

157

Creative Commons Attribuzione - Non commerciale 2.5 Italia License

ripristini. gestione tecnica operativa della base Produzione Ciclo di produzione dati (salvataggi. gestione tecnica operativa della base Contabilità Fatturazione attiva dati (salvataggi. comunicazione a terzi. manutenzione tecnica dei Qualità e programmi. ecc Risorse acquisizione e caricamento dei dati. i compiti e le relative responsabilità. ecc acquisizione e caricamento dei dati. consultazione. ecc acquisizione e caricamento dei dati. gestione tecnica operativa della base Controlli Gestione Qualità dati (salvataggi. consultazione. consultazione. manutenzione tecnica dei Qualità e programmi. ecc acquisizione e caricamento dei dati.2 Modulo 3. comunicazione a terzi.Non commerciale 2.2. ecc acquisizione e caricamento dei dati. gestione tecnica operativa della base Contabilità Gestione Contratti dati (salvataggi. Umane Gestione personale comunicazione a terzi Risorse acquisizione e caricamento dei dati. ripristini. consultazione. in relazione ai trattamenti effettuati. gestione tecnica operativa della base Contabilità Acquisti e gestione fornitori dati (salvataggi. comunicazione a terzi. ripristini. manutenzione tecnica dei programmi. manutenzione tecnica dei Ricerca e programmi. consultazione. consultazione. consultazione. comunicazione a terzi. manutenzione tecnica dei programmi. comunicazione a terzi.7 – Distribuzione dei compiti e delle responsabilità In questa sezione devono essere descritte sinteticamente l’organizzazione della struttura di riferimento. ripristini. ripristini. Umane Legge 626 e sicurezza del personale comunicazione a terzi acquisizione e caricamento dei dati. consultazione. manutenzione tecnica dei programmi. comunicazione a terzi. consultazione. comunicazione a terzi. ecc Qualità e acquisizione e caricamento dei dati. consultazione. visitatori comunicazione a terzi acquisizione e caricamento dei dati. ripristini. ripristini. Lezione 3 – Unità didattica 3. Descrizione dei compiti e delle responsabilità Struttura Trattamenti effettuati dalla struttura della struttura Risorse acquisizione e caricamento dei dati. Controlli Guardania. gestione tecnica operativa della base Sviluppo Prototipi dati (salvataggi. consultazione.5 Italia License . Umane Paghe e contributi comunicazione a terzi Risorse acquisizione e caricamento dei dati. ecc acquisizione e caricamento dei dati. gestione tecnica operativa della base Controlli Adempimenti societari dati (salvataggi. Umane Intranet comunicazione a terzi 158 Creative Commons Attribuzione . manutenzione tecnica dei programmi. consultazione.

altri documenti già predisposti. Sistemi IT Lista "Amministratori" di sistema comunicazione a terzi Legenda • Struttura: riporta le indicazioni delle strutture già menzionate nel censimento dei trattamenti. ripristini. consultazione. Ad esempio: acquisizione e caricamento dei dati. Anche in questo caso è possibile utilizzare.). consultazione. 159 Creative Commons Attribuzione . nei termini predetti. Lezione 3 – Unità didattica 3. comunicazione a terzi. manutenzione tecnica dei programmi. gestione tecnica operativa della base dati (salvataggi. • Trattamenti effettuati dalla struttura: indica i trattamenti di competenza di ciascuna struttura. • Compiti e responsabilità della struttura: descrive sinteticamente i compiti e le responsabilità della struttura rispetto ai trattamenti di competenza.5 Italia License . ecc.2 acquisizione e caricamento dei dati.Non commerciale 2.

valutare il rischio per tali eventi. 2. In pratica i passi da compiere sono tre: 1. elencare gli eventi potenzialmente pregiudizievoli.1. allagamenti. Contesto fisico-ambientale • Ingressi non autorizzati a locali/aree ad accesso ristretto • sottrazione di strumenti contenenti dati • eventi distruttivi. ecc. • errore materiale. incendi. eliminare o gestire tale rischio. • intercettazione di informazioni in rete.8 – Analisi dei rischi che incombono sui dati È possibile usare un “approccio semplificato” come già indicato nel Modulo 3. • comportamenti sleali o fraudolenti. Eventi relativi agli strumenti • Azione di virus informatici o di programmi suscettibili di recare danno. • valutare il rischio per tali eventi • indicare le contromisure per mitigare. 160 Creative Commons Attribuzione .2. • disattenzione o incuria. eliminare o gestire tale rischio.. condizioni ambientali.Non commerciale 2. .5 – Analisi dei rischi – un approccio semplificato nell’Unità Didattica 3. • spamming o tecniche di sabotaggio.1 di questa stessa lezione.2 Modulo 3. • malfunzionamento. 3. • accessi esterni non autorizzati.5 Italia License .). indisponibilità o degrado degli strumenti.) • errori umani nella gestione della sicurezza fisica Comportamenti degli operatori • Sottrazione di credenziali di autenticazione. climatizzazione. Elencare gli eventi potenzialmente pregiudizievoli Lo stesso Garante ha proposto una lista di eventi potenzialmente dannosi. Lezione 3 – Unità didattica 3. indicare le contromisure per mitigare. scariche atmosferiche. nonché dolosi.. • carenza di consapevolezza. accidentali o dovuti ad incuria • guasto a sistemi complementari (impianto elettrico. naturali o artificiali (movimenti tellurici.

condizioni ambientali..) 2 errori umani nella gestione della sicurezza fisica 2 Comportamenti degli operatori Sottrazione di credenziali di autenticazione. 3 accessi esterni non autorizzati. • Livello 1: rischio non significativo.Non commerciale 2. 3 182 http://www. 2 malfunzionamento. • Livello 3: rischio molto grave. nonché dolosi. climatizzazione. Il risultato è una tabella di questo tipo: Ambito Evento Rischio Contesto fisico- ambientale Ingressi non autorizzati a locali/aree ad accesso ristretto 3 sottrazione di strumenti contenenti dati 2 eventi distruttivi. 3 incendi. allagamenti. 4 carenza di consapevolezza. .2 Valutare il rischio Per valutare il rischio degli eventi potenzialmente pregiudizievoli occorre usare una scala di “gravità” ad esempio quella che si ispira alla metodologia Mehari182 • Livello 4: rischio gravissimo (vitale per l’azienda). indisponibilità o degrado degli strumenti. 3 errore materiale. scariche atmosferiche.it/03/04/2008/mehari-un-approccio-alla-gestione-del-rischio-it/ 161 Creative Commons Attribuzione . 4 spamming o tecniche di sabotaggio. 2 Eventi relativi agli strumenti Azione di virus informatici o di programmi suscettibili di recare danno.oneitsecurity. 2 disattenzione o incuria. Lezione 3 – Unità didattica 3. ecc. naturali o artificiali (movimenti tellurici..). 3 comportamenti sleali o fraudolenti. • Livello 2: rischio importante.5 Italia License . accidentali o dovuti ad incuria guasto a sistemi complementari (impianto elettrico.

sensibilizzazione. climatizzazione. ecc. naturali o 3 Piano di Disaster artificiali (movimenti tellurici. Ambito Evento Rischio Contromisura Contesto fisico- ambientale Ingressi non autorizzati a 3 Videosorveglianza locali/aree ad accesso ristretto alla reception. controlli automatici e manuali Eventi relativi 162 Creative Commons Attribuzione .2 intercettazione di informazioni in rete. badge per l’ingresso al piano sottrazione di strumenti contenenti 2 Videosorveglianza dati alla reception.).) errori umani nella gestione della 2 Formazione sicurezza fisica Comportamenti degli operatori Sottrazione di credenziali di 4 Gestione credenziali autenticazione. 2 Formazione. back-up scariche atmosferiche. 2 Indicazione delle contromisure per mitigare. badge per l’ingresso al piano eventi distruttivi. 3 Formazione e sensibilizzazione comportamenti sleali o 3 Controlli automatici e fraudolenti.. Lezione 3 – Unità didattica 3.5 Italia License . carenza di consapevolezza.. incendi. eliminare o gestire tale rischio Per ciascuno dei “possibili rischi” indichiamo le misure di sicurezza adottate (che attenzione non devono essere necessariamente quelle “minime” indicate dal Garante). condizioni ambientali. Recovery. . accidentali o dovuti ad incuria guasto a sistemi complementari 2 Back-up (impianto elettrico.Non commerciale 2. dei dati in rete allagamenti. 2 Formazione e sensibilizzazione disattenzione o incuria. manuali errore materiale. nonché dolosi.

spamming o tecniche di 2 Antivirus. Lezione 3 – Unità didattica 3.2 agli strumenti Azione di virus informatici o di 4 Antivirus. ad alta affidabilità accessi esterni non autorizzati. patch malfunzionamento.Non commerciale 2. 163 Creative Commons Attribuzione . gestione sabotaggio. indisponibilità 3 Sistemi ridondanti e o degrado degli strumenti.5 Italia License . 3 Firewal intercettazione di informazioni in 2 Firewal rete. gestione programmi suscettibili di recare patch danno.

Per misura si intende lo specifico intervento tecnico od organizzativo posto in essere (per prevenire. essenziali per assicurarne l’efficacia. Tutti Tutti Azione di virus informatici o di Antivirus. accidentali o dati in rete dovuti ad incuria Tutti Sistemi e Reti errori umani nella gestione Formazione della sicurezza fisica Tutti Tutti Formazione carenza di consapevolezza. naturali o artificiali (movimenti tellurici. Determinate misure possono non essere riconducibili a specifici trattamenti o banche di dati (ad esempio. incendi. Gestione Risorse Umane sottrazione di strumenti contenenti dati eventi distruttivi. Lezione 3 – Unità didattica 3. Descrizione dei rischi Trattamenti Struttura o persone addette Misure contrastati interessati all’adozione Videosorveglianza alla Ingressi non autorizzati a reception. allagamenti. 164 Creative Commons Attribuzione . Tutti Tutti Formazione disattenzione o incuria. gestione programmi suscettibili di patch recare danno.9 – Misure in essere In questa sezione devono essere riportate. si possono utilizzare le indicazioni fornite dall’Allegato B). come pure quelle attività di verifica e controllo nel tempo. badge per locali/aree ad accesso l’ingresso al piano ristretto Tutti Guardiania. .).. Piano di Disaster condizioni ambientali. le misure di sicurezza adottate per contrastare i rischi individuati. Recovery.2. scariche atmosferiche. back-up dei nonché dolosi.  Struttura o persone addette all’adozione: indica la struttura o la persona responsabili o preposte all’adozione delle misure indicate. gestione spamming o tecniche di patch sabotaggio. in forma sintetica. Tutti Tutti accessi esterni non Firewal autorizzati.5 Italia License . Tutti Tutti accessi esterni non Firewal autorizzati. Tutti Tutti Controlli automatici e comportamenti sleali o manuali fraudolenti.. contrastare o ridurre gli effetti relativi ad una specifica minaccia).  Trattamenti interessati: indica i trattamenti interessati per ciascuna delle misure adottate. con riferimento alle misure per la protezione delle aree e dei locali).Non commerciale 2.  Descrizione dei rischi: per ciascuna misura indica sinteticamente i rischi che si intende contrastare (anche qui.2 Modulo 3. Tutti Tutti Legenda  Misure: descrive sinteticamente le misure adottate (seguendo anche le indicazioni contenute nelle altre regole dell’Allegato B del Codice). Tutti Tutti Antivirus.

2. il data base o l’archivio interessati.  Criteri e procedure per il salvataggio e il ripristino dei dati: descrive sinteticamente le procedure e i criteri individuati per il salvataggio e il ripristino dei dati. Ripristino Criteri e procedure per il Banca /data salvataggio e il ripristino Pianificazione delle base/archivio di dati dei dati prove di ripristino Trattamenti Lan Back-up giornaliero su Amministrazione server Mensili Trattamenti Lan Back-up giornaliero su Produzione server Mensili Trattamenti Lan Ricerca Back-up giornaliero su e Sviluppo server Mensili Legenda  Banca dati/Data base/Archivio: indica la banca dati. 165 Creative Commons Attribuzione .10 – Criteri e modalità di ripristino della disponibilità dei dati In questa sezione devono essere descritti i criteri e le procedure adottati per il ripristino dei dati in caso di loro danneggiamento o di inaffidabilità della base dati. Lezione 3 – Unità didattica 3.  Pianificazione delle prove di ripristino: indica i tempi previsti per effettuare i test di efficacia delle procedure di salvataggio/ripristino dei dati adottate.5 Italia License .2 Modulo 3.Non commerciale 2.

Prima di iniziare i formazione e online) Nuovi assunti trattamenti Corso privacy per Risorse umane (auto-formazione e secondo semestre online) Risorse umane 2009 Legenda  Descrizione sintetica degli interventi formativi: sono descritti sinteticamente gli obiettivi e le modalità dell’intervento formativo.2. in relazione a quanto previsto dalla regola 19.Non commerciale 2.2 Modulo 3. programmi o sistemi informatici. Classi di incarico o Descrizione sintetica degli tipologie di incaricati interventi formativi interessati Tempi previsti Corso base privacy (auto. introduzione di nuovi elaboratori.  Tempi previsti: sono indicati i tempi previsti per lo svolgimento degli interventi formativi.  Classi di incarico o tipologie di incaricati interessati: sono individuati le classi omogenee di incarico a cui l’intervento è destinato e/o le tipologie di incaricati interessati. anche in riferimento alle strutture di appartenenza. Lezione 3 – Unità didattica 3. ecc) .5 Italia License .6 (ingresso in servizio o cambiamento di mansioni degli incaricati. 166 Creative Commons Attribuzione .11 – Pianificazione degli interventi formativi previsti In questa sezione occorre riportare le informazioni necessarie per individuare il quadro sintetico degli interventi formativi che si prevede di svolgere.

sensibili o giudiziari.2 Modulo 3. adempimento degli obblighi previsti dal Codice per la protezione dei dati personali. trattamento di dati ai soli fini dell’espletamento dell’incarico ricevuto.e ad informare immediatamente il titolare del trattamento in caso di situazioni anomale o di emergenze. Lezione 3 – Unità didattica 3. 3. con l’indicazione sintetica del quadro giuridico o contrattuale (nonché organizzativo e tecnico) in cui tale trasferimento si inserisce.  Trattamenti di dati interessati: è indicato se i trattamenti sono relativi a dati. 2. rispetto delle istruzioni specifiche eventualmente ricevute per il trattamento dei dati personali o integrazione delle procedure già in essere. anche all’esterno.Non commerciale 2.5 Italia License . impegno a relazionare periodicamente sulle misure di sicurezza adottate –anche mediante eventuali questionari e liste di controllo. effettuati nell’ambito della predetta attività. e il ruolo ricoperto agli effetti della disciplina sulla protezione dei dati personali (titolare o responsabile del trattamento).  Soggetto esterno: è indicata la società. 167 Creative Commons Attribuzione . in riferimento agli impegni assunti. 4.2. per garantire la protezione dei dati stessi. l’ente o il consulente cui è stata affidata l’attività.12 – Trattamenti affidati all’esterno In questa sezione occorre è riportato il quadro sintetico delle attività affidate a terzi che comportano il trattamento di dati.  Descrizione dei criteri: il tipo di dichiarazione che la società a cui viene affidato il trattamento rilascia o il tipo di impegno assunto anche su base contrattuale: 1. Descrizione dei criteri e degli Descrizione impegni assunti per sintetica dell’attività Trattamenti di Soggetto l’adozione delle esternalizzata dati interessati esterno misure Nomina a Outsourcing paghe Gestione paghe Società SW1 Responsabile Gestione Nomina a Outsourcing logistica produzione Società SW2 Responsabile Legenda  Descrizione dell’attività “esternalizzata”: è indicata sinteticamente l’attività affidata all’esterno.

Dovranno infine essere valutate con attenzione esperienza.garanteprivacy. Lezione 3 – Unità didattica 3.13 – Adempimenti per la funzione di amministratore di sistema Come già indicato nel Modulo 1. capacità. ad esempio. e affidabilità della persona chiamata a ricoprire il ruolo di amministratore di sistema. compreso il profilo della sicurezza.jsp?ID=1580831 168 Creative Commons Attribuzione .it/garante/doc. il Garante ha imposto183 che.” L’elenco può essere predisposto aggiungendo.2 Modulo 3. Unità didattica 1. PC Responsabile Sistemi del personale dipendente X Umane Sicurezza1 stand Alone e Reti (interno) 183 http://www.5 Italia License .5 – I nuovi adempimenti per le funzioni di “amministratore di sistema” della Lezione 1.Non commerciale 2. Dice il Garante: “Ciascuna azienda o soggetto pubblico dovrà inserire nel documento programmatico della sicurezza o in un documento interno (disponibile in caso di accertamenti da parte del Garante) gli estremi identificativi degli amministratori di sistema e l'elenco delle funzioni loro attribuite. Natura dei dati trattati Altre strutture Descrizione sintetica del trattamento (anche esterne) che concorrono Descrizione Finalità perseguita o Categorie di Struttura di al degli strumenti Amministratori attività svolta interessati S G riferimento trattamento utilizzati sistema • Società Software 1 (esterno) • Pino White - Personale Risorse Società PC collegati in Responsabile Sistemi Paghe e contributi dipendente X X Umane Software 1 Lan.2. che deve essere in grado di garantire il pieno rispetto della normativa in materia di protezione dei dati personali.3 . una nuova colonna nella tabella dei trattamenti ed aggiungendo il nominativo della persona (nel caso di trattamento interno) o della società (nel caso di trattamento esternalizzato) che è l’amministratore del sistema. Internet e Reti (interno) • Società Software 1 (esterno) • Pino White - Personale Risorse Società PC collegati in Responsabile Sistemi Gestione personale dipendente X X Umane Software 1 Lan. sia predisposto un “Elenco degli amministratori di sistema e loro caratteristiche”.3. Internet e Reti (interno) • Società Sicurezza1 (esterno) • Pino White - Legge 626 e sicurezza Personale Risorse Società Internet. a partire dal 2009.

Lezione 3 – Unità didattica 3. Internet e Reti (interno) Pino White - Personale Qualità e PC collegati in Responsabile Sistemi Gestione Qualità dipendente Controlli Lan e Reti • Società Studio legale 1 (esterno) • Società Studio legale 2 (esterno) • Pino White - Personale Qualità e Studi legali 1 PC collegati in Responsabile Sistemi Adempimenti societari dipendente X Controlli e2 Lan e Reti (interno) Personale • Società sorveglianza dipendente. visitatori Fornitori Controlli Sorveglianza1 Lan e Reti (interno) Pino White - Clienti.Non commerciale 2.5 Italia License . Internet e Reti • Società Software 2 (esterno) • Pino White - Clienti. Ricerca e Responsabile Sistemi Prototipi fornitori Sviluppo PC Stand Alone e Reti 169 Creative Commons Attribuzione . Società PC collegati in Responsabile Sistemi Ciclo di produzione fornitori Produzione Software 2 Lan. 1 (esterno) Visitatori. • Pino White - Clienti. Qualità e Società PC collegati in Responsabile Sistemi Guardania. Internet e Reti Pino White - Acquisti e gestione PC collegati in Responsabile Sistemi fornitori Fornitori Contabilità Lan.2 Pino White - PC collegati in Responsabile Sistemi Fatturazione attiva Clienti Contabilità Lan.

tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti. Le ricordiamo.2 Nomina ad amministratore di sistema Egr. che il provvedimento del Garante già citato. 300 del 24 dicembre 2008 • dato il rapporto di lavoro con Lei in essere. __________________ Firma della Società/Titolare del trattamento ---------------------------------------------------------- Per ricevuta ed accettazione: (data e firma) ---------------------------------------- 170 Creative Commons Attribuzione . inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste.5 Italia License . firmata per accettazione e per ricevuta della documentazione di cui sopra. n. Lezione 3 – Unità didattica 3. tali registrazioni (access log) devono avere caratteristiche di completezza. In tale contesto i suoi compiti consistono in: • assicurare la custodia delle credenziali per la gestione dei sistemi di autenticazione e di autorizzazione in uso in azienda. Distinti saluti. Data. capacità e affidabilità forniscono idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza con la presente La nominiamo “Amministratore del sistema” per i trattamenti svolti internamente in azienda il cui dettaglio è allegato alla presente (e disponibile nella versione corrente del Documento programmatico sulla Sicurezza). • predisporre sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte Sua (nella sua qualità di “amministratore di sistema”).Non commerciale 2. Sig. • predisporre e rendere funzionanti le copie di sicurezza (operazioni di backup e recovery) dei dati e • delle applicazioni. obbliga l’azienda alla “verifica” almeno annuale delle attività svolte dall’amministratore di sistema in modo da controllare la sua rispondenza alle misure organizzative. Pino White Oggetto: Nomina ad “amministratore del sistema” Ai sensi del “provvedimento” del Garante per la protezione dei dati personali del 27 novembre 2008 recepito nella Gazzetta Ufficiale. La preghiamo di restituirci copia della presente. • considerando che si è valutato che la sua esperienza.

ufficio o nomina del legittimata. responsabile dei trattamenti. Lezione 3 – Unità didattica 3. ad persona fisica a ciò Responsabile tocca al esempio il legittimata. formazione. Falso. eliminare o mitigare. eliminare o contromisure per gestire tale rischio. cioè del legale redazione del può farsi coadiuvare del Responsabile dei rappresentante Documento da un nella redazione del trattamenti. Falso. Vero. “semplificazioni” piani formativi. organo. trattamenti. Solo in dell’azienda o ente. Vero. decise dal Garante. corretto sono: 1) elencare gli eventi 1) elencare gli eventi 1) valutare il rischio per gli eventi potenzialmente potenzialmente potenzialmente pregiudizievoli pregiudizievoli pregiudizievoli 2) valutare il rischio 3) indicare le 2) indicare le per tali eventi contromisure per contromisure per 3) indicare le mitigare. Falso. per tali eventi rimangono potenzialmente rischiosi anche dopo l’adozione delle contromisure Il DPS deve contenere sia il Vero. prevede tre fasi che Le fasi sono corrette Fasi e ordine delle fasi Le fasi e l’ordine nell’ordine sono: ma l’ordine giusto è: sono corrette. 171 Creative Commons Attribuzione . gestire tale rischio mitigare. eliminare o 2) valutare il rischio 3) elencare gli eventi che gestire tale rischio. Vero. consuntivo delle attività IL DPS deve Tuttavia ciò non sarà Nel DPS va riportata formative già svolte sia la pianificazione delle attività contenere consuntivo e più vero dal 30 giugno solo la formative che si intende pianificazione della 2009 in seguito alle “programmazione” dei svolgere in futuro.2 Domande di verifica 3. ufficio o Documento da un mancanza della persona fisica a ciò organo. ad Titolare redigere il responsabile dei esempio il DPS.5 Italia License .Non commerciale 2. cade sotto la Il titolare può farsi Solo il titolare può La redazione del DPS responsabilità del coadiuvare nella redigere il DPS e non è una responsabilità titolare. L’analisi dei rischi Falso.2 Domanda Prima risposta Seconda risposta Terza risposta La redazione del DPS Vero.

5 Italia License .Non commerciale 2.2 Pagina lasciata intenzionalmente bianca 172 Creative Commons Attribuzione . Lezione 3 – Unità didattica 3.

Lezione 3 – Unità didattica 3.3 – La protezione dei dati personali in pratica Modulo 3.4 – Le verifiche sull’amministratore di sistema Domande di verifica 3.3.2 – Regolamento su posta elettronica e Internet Modulo 3.3 Lezione 3 – Unità didattica 3.5 Italia License .3 – Le verifiche interne Modulo 3.3 173 Creative Commons Attribuzione .3.1 – Regolamento sulla protezione dei dati personali Modulo 3.Non commerciale 2.3.3.

assegnati esclusivamente per l’uso professionale. gli comunichi per iscritto le modalità con le quali deve far uso delle risorse informatiche aziendali ed i relativi doveri.it/service/PDF/PDFServer/BGT/00298813. ovviamente.5 Italia License . telefono cellulare.3. Inoltre i “delitti informatici” commessi da dirigenti.1. eccetera) Esempio di Regolamento per l’uso delle risorse informatiche Le risorse informatiche affidate al dipendente (dirigente. a norma dell'articolo 11 della legge 29 settembre 2000. Il loro utilizzo deve sempre ispirarsi ai principi di diligenza e correttezza.2 – Il quadro normativo della sicurezza informatica” ogni azienda è soggetta. • possono essere utilizzate solo per fini professionali (in relazione.com/2008/02/struttura-del-d-lgs-8-giugno-2001-n. sotto certe condizioni.5 – Le lettere di incarico”: quest’ultima infatti si riferisce alle modalità di trattamento dei dati personali mentre il regolamento sulle “risorse informatiche” prende in considerazione l’equipaggiamento informatico di proprietà dell’azienda ed assegnato al collaboratore (PC. sono tra i reati presi in considerazione Decreto Legislativo 8 giugno 2001. all’atto dell’assunzione del lavoratore. 184 http://www.senato. alle mansioni assegnate). verrà chiamata a rispondere del reato stesso a meno che l’azienda non abbia provveduto preventivamente a realizzare un “sistema di controlli” volti a prevenire i reati stessi. collaboratore) quali: • personal computer • telefono cellulare • palmare • (inserire altre tipologie) sono strumenti di lavoro. delle società e delle associazioni anche prive di personalità giuridica. 231 “Disciplina della responsabilità amministrativa delle persone giuridiche. anche al rispetto di ulteriori obblighi di sicurezza quali quelli richiesti dalla legge n. Pertanto tali risorse informatiche: • devono essere custodite in modo appropriato.1. impiegati e collaboratori dell’azienda sono.complianceaziendale.Non commerciale 2. Attenzione: questo regolamento non sostituisce la “lettera di incarico” prevista dalla normativa Privacy e di cui si è parlato nel “Modulo 2.1 – Regolamento per l’uso delle risorse informatiche aziendali Perché un regolamento per l’uso delle risorse informatiche? Come è stato già osservato nel “Modulo 3. 300185”: ciò significa che in caso di “reato informatico” l’azienda. oltre ai requisiti di sicurezza indicati dal ““Codice in materia di protezione dei dati personali. n.3 Modulo 3. Lezione 3 – Unità didattica 3. nella figura del suo legale rappresentante.pdf 185 http://www.48/2008184 sulla “criminalità informatica”. di proprietà dell’azienda. È quindi opportuno che l’azienda. n.html 174 Creative Commons Attribuzione .

• non è consentita l’installazione sul proprio P. L’azienda si riserva la facoltà di verificare.. falsificare. documento.5 Italia License . in queste unità. Lezione 3 – Unità didattica 3. alterare o sopprimere il contenuto di comunicazioni e/o documenti informatici. essere utilizzate per scopi diversi. scaricare file contenuti in supporti magnetici/ottici non aventi alcuna attinenza con la propria prestazione lavorativa. Nota bene. Uso dei supporti magnetici: • è vietato copiare. danneggiamento o smarrimento di tali strumenti si deve immediatamente segnalare il fatto al’ Ufficio “Sistemi e Reti” ed al proprio responsabile diretto. file. ovvero acquisiti o installati in violazione del presente regolamento. • non è consentito utilizzare strumenti software e/o hardware atti a intercettare. • non è consentito modificare le configurazioni impostate sul proprio P. sul rispetto di tale regolamento anche con l’utilizzo di procedure automatizzate. In particolare.3 In caso di furto. L’azienda si riserva altresì la facoltà di procedere alla rimozione di ogni file. in alcun modo.C. i modem. archivio.Non commerciale 2. Uso della rete aziendale Le unità di rete sono aree di condivisione di informazione ad uso esclusivamente professionale e non possono. ad esempio. immagine o applicazione che riterrà essere pericolosi per la sicurezza del sistema. 175 Creative Commons Attribuzione . duplicare. devono essere sottoposti al controllo antivirus.C. • gli archivi e file di provenienza incerta o esterna. Uso del personal computer: • è vietato installare nuovi programmi o disinstallare programmi già forniti con il PC. immagine o documento che non sia legato all’attività lavorativa può essere memorizzato. nemmeno per brevi periodi. di mezzi di comunicazione telematica propri come. Dunque nessun archivio. ancorché attinenti all’attività lavorativa. nel rispetto della legge.

Gli allegati ai messaggi di posta elettronica devono essere controllati dall’antivirus prima di essere aperti. Lezione 3 – Unità didattica 3.cognome@arcobaleni196. La persona a cui viene assegnata la casella di posta elettronica è responsabili del corretto utilizzo della stessa.Non commerciale 2. passati dieci giorni dalla comunicazione fra le parti della risoluzione. Ogni messaggio di posta elettronica trasmesso o ricevuto e che contenga contenuti importanti per l’azienda o impegni contrattuali o precontrattuali deve essere “inoltrato” (forward) o posto a conoscenza (CC) al proprio responsabile. l’assegnatario deve attivare la modalità di inoltro automatico ad un altro indirizzo di posta elettronica. La casella rimarrà attiva per ulteriori 60 giorni e successivamente definitivamente cancellata.3.it) saranno revocate. come già ricordato nel “Modulo 2. Esempio di Regolamento per l’uso della posta elettronica e Internet Posta elettronica La casella di posta elettronica assegnata è uno strumento di lavoro e deve essere utilizzata esclusivamente per uso professionale. 3).2 – Regolamento su posta elettronica e internet Perché un regolamento per email e Internet? È opportuno che l’azienda si doti di un “regolamento” specifico anche sull’uso della posta elettronica e di Internet questo sia per i motivi già indicati nel precedente modulo sia perché.it/garante/doc.2. In caso di cessazione del rapporto di lavoro. nel caso l’assegnatario non possa attivare l’inoltro questo verrà attivato a cura dell’azienda. 13). deve avvenire nel rispetto dei diritti e delle libertà fondamentali.5 Italia License .3 Modulo 3. che di tale attività. Il Codice stabilisce che l’attività di controllo deve rispettare il principio di “proporzionalità” (art.jsp?ID=1387522 176 Creative Commons Attribuzione . L'Autorità prescrive innanzitutto ai datori di lavoro di informare con chiarezza e in modo dettagliato i lavoratori sulle modalità di utilizzo di Internet e della posta elettronica e sulla possibilità che vengano effettuati controlli. In caso di ferie o attività di lavoro fuori sede dell’assegnatario della casella o comunque in previsione della possibilità che all’assegnatario non sia possibile accedere alla propria casella di posta elettronica. le credenziali di accesso alla casella di posta elettronica riconducibile univocamente all’assegnatario (nome. 2) e soprattutto.6 – Linee guida del Garante per posta elettronica e internet” (Lezione 2. Internet 186 http://www. nonché della dignità dell'interessato (art. Unità Didattica 2) nel marzo 2007 il Garante per la protezione dei dati personali ha reso pubbliche le “Linee guida” del Garante per posta elettronica e internet186 che forniscono concrete indicazioni in ordine all'uso dei computer sul luogo di lavoro.garanteprivacy. debba essere fornita adeguata e preventiva informativa (art.

• la partecipazione a forum. • riprodurre musica. immagine o applicazione che riterrà essere pericolosi per la sicurezza del sistema. 177 Creative Commons Attribuzione . Nota bene. L’azienda si riserva altresì la facoltà di procedere alla rimozione di ogni file. bacheche elettroniche. ovvero acquisiti o installati in violazione del presente regolamento.Non commerciale 2. Lezione 3 – Unità didattica 3.3 Internet è uno strumento di lavoro e deve essere utilizzato esclusivamente per uso professionale. dedicato all’intrattenimento o di aste online. notiziari. sul rispetto di tale regolamento anche con l’utilizzo di procedure automatizzate. L’azienda si riserva la facoltà di verificare. chat line. documento. La persona a cui sono assegnate le risorse informatiche necessarie per l’uso di Internet è responsabili del corretto uso delle stesse. con finalità di gioco d’azzardo. a siti i cui contenuti non siano strettamente legati all'attività lavorativa. È esplicitamente vietato: • la navigazione in siti a contenuto sessuale. film.5 Italia License . con le credenziali aziendali. archivio. • la registrazione. • scaricare (download) o caricare (upload) software di qualsiasi tipo. nel rispetto della legge.

in modo strutturato e periodico. Lezione 3 – Unità didattica 3. titoli autonomi. ivi compreso il profilo relativo alla sicurezza”. dai (sub)responsabili esterni. 187 http://www. • deve vigilare che responsabili rispettino le istruzioni ricevute (responsabilità in vigilando). In poche parole: il titolare del trattamento non può limitarsi a nominare i responsabili del trattamento dando loro istruzioni ma deve: • assicurarsi che i responsabili abbiano le caratteristiche giuste per ricoprire tale ruolo (responsabilità in eligendo). da società terze non nominate "responsabili esterni". Quanto sopra riportato nei confronti dei responsabili del trattamento è stato ripetuto dal Garante per la protezione dei dati personali in occasione del provvedimento “Misure e accorgimenti (…) relativamente alle attribuzioni delle funzioni di amministratore di sistema”188 del 27 novembre 2008. • società terze non nominate "responsabili esterni" ma che tuttavia gestiscono in un modo o nell’altro trattamenti del titolare (ad esempio: contitolari. risorse umane. del “Codice in materia di protezione dei dati personali”187 recita che “il responsabile (interno o esterno ndr) effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale. ecc.3 Modulo 3. Su chi deve "vigilare" il titolare? Il titolare deve esercitare. Il titolare deve esercitare inoltre. consulenti esterni.3. tecniche e organizzative. volti ad agevolare l'esercizio dei doveri di controllo da parte del titolare" in relazione alle mansioni svolte dagli amministratori di sistema.jsp?ID=1311248 188 http://www. in vigilando e due diligence L’articolo 29.5 Italia License .jsp?ID=1577499 178 Creative Commons Attribuzione .) • amministratori di sistema interni. sistemi informativi.it/garante/doc.garanteprivacy. • responsabili esterni. outsourcer.U. • incaricati (o per meglio dire "classi di incaricati": marketing. ecc.). direttamente la sua responsabilità “in vigilando” nei confronti di: • responsabili interni da lui direttamente (o indirettamente) nominati. anche qui in modo strutturato e periodico. Il succitato comma 2 a sua volta dice “se designato.3 – Le verifiche interne Responsabilità in eligendo.Non commerciale 2.it/garante/doc. n. in G. capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento. vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni”. anche tramite verifiche periodiche. 300 del 24 dicembre 2008 e dove il Garante usa per la prima volta l’espressione “due diligence” per indicare “gli accorgimenti e misure.garanteprivacy. comma 5. ma indirettamente la sua responsabilità “in vigilando” nei confronti di: • amministratori di sistema nominati dai responsabili esterni. il responsabile è individuato tra soggetti che per esperienza.

In tal caso il Responsabile opererebbe per delega legale a tutti gli effetti per conto del Titolare che lo ha nominato.5 Italia License .3 Il “sub-responsabile” Se il responsabile esterno (chiamiamolo B) nominato dal Titolare (chiamiamolo A) a sua volta si avvale di un outsourcer (chiamiamolo C) allora il “sub-responsabile” C deve essere nominato responsabile da parte del titolare A (salvo il caso specifico descritto in coda) ovvero se esso é una persona fisica (o anche più di una) deve essere nominato incaricato dal responsabile B autonomamente.Non commerciale 2. Lezione 3 – Unità didattica 3. A chi deve “rispondere” il titolare? Il titolare può essere chiamato a rispondere (e quindi a dover documentare e dimostrare il suo operato) della sua responsabilità in eligendo. in vigilando e in generale delle due diligence effettuate a diverse categorie di “stakeholder” (termine molto in voga per indicare i "portatori d interessi" ciò coloro che hanno titolo per richiedere che i loro interessi e/o diritti siano garantiti). audit o Compliance Officer (della società e del gruppo) o Internal Audit (della società e del gruppo) o Revisori dei Conti o Certificatori (Iso9001 ed affini) o Responsabile della Business Continuity (della società e del gruppo) • “Interessati” che intendono esercitare il loro “diritto di accesso”: o Dipendenti. o fornitori o e chiunque voglia esercitare tale diritto. In certi casi (ma non pare che il Garante si sia mai pronunciato ufficialmente sulla liceità di tale comportamento) è accaduto che un titolare abbia delegato a tutti gli effetti con delega legale un Responsabile a nominare per SUO conto altri responsabili per trattamenti o parti di essi che il titolare ha affidato al responsabile delegato. • Autorità: o Garante Privacy o Magistratura. In linea di principio il responsabile B non può nominare (per i trattamenti che gestisce per conto di A) direttamente un sub-responsabile C. o clienti. In questa fattispecie è opportuno che nella delega sia specificata una clausola di approvazione dell'operato del delegato e l’assunzione di responsabilità in merito alla idoneità delle nomine effettuate e della verifica sull'operato di chi é nominato richiamando eventualmente gli articoli del Codice. 179 Creative Commons Attribuzione . Forze di polizia o Organismi di vigilanza (ad esempio Banca d’Italia nel caso di intermediari finanziari) • Organismi di controllo interno: o Consiglio di Amministrazione o Collegio Sindacale o Comitati vari di controllo. sicurezza.

Lezione 3 – Unità didattica 3. 180 Creative Commons Attribuzione .5 Italia License . cioè un elenco articolato delle verifiche che saranno svolte rispetto agli adempimenti sopra delineati nel corso dei successivi 12 mesi.3 Il “Privacy Compliance Plan” del titolare A fronte di tali e tanti adempimenti è opportuno che il titolare adotti un approccio proattivo e che definisca all’inizio di ogni anno e comunque entro il 31 marzo (data di aggiornamento del Documento Programmatico sulla Sicurezza) un vero e proprio “Privacy Compliance Plan”.Non commerciale 2. Perché il piano sia plausibile occorre che contenga (almeno) i seguenti elementi: • attività da svolgere • tempi di completamento previsti • risorse aziendali dedicate a ciascuna attività • deliverable per ciascuna attività • rapporto di fine attività.

25 189 http://www. con l'elenco delle funzioni ad essi attribuite. Questo nuovo adempimento non si esaurisce nella mera predisposizione di una nuova lettera di incarico o nella modifica di quella già esistente ma richiede al titolare una serie di “misure e accorgimenti” e. devono essere riportati nel Documento Programmatico sulla Sicurezza.garanteprivacy.3 Modulo 3.it/garante/doc. Gli estremi identificativi delle persone fisiche amministratori di sistema. • registrare gli accessi ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema.jsp?ID=1577499 181 Creative Commons Attribuzione . 300 del 24 dicembre 2008. pubblicato sulla G. n. i quali pongono minori rischi per gli interessati e sono stati pertanto oggetto di recenti misure di semplificazione (art. Nella pratica occorre: • individuare coloro che ricadono nella categoria di “amministratore di sistema”. di “adempimenti in ordine all'esercizio dei doveri di controllo da parte del titolare (due diligence)” sulle attività dell’amministratore. il Garante per la protezione dei dati personali ha imposto che sia predisposto un “elenco degli amministratori di sistema e loro caratteristiche”.5 Italia License .l. la capacità e l'affidabilità dei soggetti designati quali “amministratore di sistema” che devono fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza. Il nuovo adempimento in sintesi Con il provvedimento a carattere generale del 27 novembre 2008 dal titolo “Misure e accorgimenti (…) relativamente alle attribuzioni delle funzioni di amministratore di sistema”189.U.4 – Le verifiche sull’amministratore di sistema Come già ricordato.Non commerciale 2.3. il Garante per la protezione dei dati personali impone ai titolari di trattamenti di dati personali (anche solo in parte gestiti mediante strumenti elettronici) di predisporre un “elenco degli amministratori di sistema e loro caratteristiche”. • verificare l'operato degli amministratori di sistema. con cadenza almeno annuale. tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti. Sono esclusi dall'ambito applicativo del presente provvedimento i titolari di alcuni trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili. oppure. nei casi in cui il titolare non sia tenuto a redigere il DPS. non ultimi. annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante. Lezione 3 – Unità didattica 3. mediante l’adozione di sistemi idonei alla registrazione degli accessi logici (autenticazione informatica). • designare tali “amministratore di sistema” in modo individuale con l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato. in modo da controllare la sua rispondenza alle misure organizzative. 29 d. • valutare l'esperienza.

Tale figura. gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi e ciò anche quando l'amministratore non consulti “in chiaro” le informazioni relative ai trattamenti di dati personali... la capacità e l'affidabilità dei soggetti designati quali “amministratore di sistema” che devono fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza. • elencazione analitica degli ambiti di operatività richiesti e consentiti in base al profilo di autorizzazione assegnato. esperienze professionali. 34 del Codice. certificazioni professionali. c). Provv. Lezione 3 – Unità didattica 3. Il CV deve essere datato e firmato sia dall’amministratore che dal titolare. deve valutare l'esperienza. con mod. Nel provvedimento del 27 novembre 2008 il Garante dice che con “amministratore di sistema” si individuano figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti e che sono considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati. n. 133. comma 1. 1. è opportuno allora predisporre una sorta di curriculum vitae di ciascun amministratore che indichi chiaramente titoli di studio. 318/1999 (abrogato dal Codice) che definisce l'amministratore di sistema il “soggetto al quale è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di banca dati e di consentirne l'utilizzazione” (art. 190 http://www. Garante 6 novembre 2008).garanteprivacy. Come si valutano le capacità dell’amministratore di sistema? Il titolare. anche se non esplicitamente indicata nel “Codice in materia di protezione dei dati personali”190 era prevista. Cosa si intende per amministratore di sistema? Il primo punto di riflessione riguarda l’individuazione di coloro che ricadono nella categoria di “amministratore di sistema”. In che modo ciò può essere svolto (ed eventualmente dimostrato al Garante in caso di ispezione)? È ovvio che si parte dal presupposto che chi di fatto svolge già oggi la funzione di amministratore di sistema sia in grado si svolgere la propria funzione. viceversa.3 giugno 2008. dal d. art.R. 6 agosto 2008. lett.Non commerciale 2. L’indicazione dei percorsi formativi svolti specie per gli ambiti non prettamente tecnologici ma relativi invece alle problematiche della privacy e della protezione dei dati personali assume un valore particolarmente importante per il “rispetto della garanzia delle vigenti disposizioni”. corsi di formazione già svolti.P.it/garante/doc. n. Designazione dell’amministratore di sistema. Occorre predisporre una lettera di "incarico" specifica che contenga: • attestazione che l’incaricato ha le caratteristiche richieste dalla legge. quali gli amministratori di basi di dati.5 Italia License . con l. L’amministratore di sistema non può essere solo un bravo tecnico ma deve conoscere la normativa sulla privacy.jsp?ID=1311248 182 Creative Commons Attribuzione . conv. prima di procedere alla nomina. 112.

giudizio di conformità sugli adempimenti richiesti. la predisposizione di un piano di (eventuali) azioni correttive. In sintesi l’output della due diligence del titolare sull’amministratore di sistema deve consistere almeno nei seguenti elementi: 1. indicazioni dei possibili interventi (se necessari o opportuni). nell’ambito dell’internal audit e dell’information security con “due diligence” si intende un’attività di analisi e verifica volta al raggiungimento di un parere di conformità (compliance) in relazione a particolari attività anche in relazione ai possibili rischi ed ai relativi impatti. Lezione 3 – Unità didattica 3. A riguardo può essere utile utilizzare una "check list di controllo" come quella di seguito riportata.Non commerciale 2. Caratteristica della “due diligence” è inoltre. volti ad agevolare l'esercizio dei doveri di controllo da parte del titolare” in relazione alle mansioni svolte dagli amministratori di sistema. Come è noto.5 Italia License .3 • indicazione delle “verifiche” almeno annuali che il titolare svolgerà sulle attività svolte dall’amministratore di sistema. a fronte dei risultati ottenuti. 2. • indicazione che la nomina ed il relativo nominativo sarà comunicato al personale ed eventualmente a terzi nei modi richiesti dalla legge. valutazione dei possibili rischi (e relativi impatti). 183 Creative Commons Attribuzione . Cos’è una "due diligence"? Il Garante nel provvedimento del 27 novembre 2008 sull’amministratore di sistema usa per la prima volta l’espressione “due diligence” per indicare “gli accorgimenti e misure. 3. tecniche e organizzative. Giudizio di conformità sugli adempimenti richiesti Il giudizio di conformità viene realizzato dal titolare o da una terza parte indipendente rispetto ai sistemi informativi (ad esempio l’Internal Audit) mediante la verifica del rispetto degli adempimenti richiesti.

comunicazioni. 2) Non conforme ___ 3) Parzialmente conforme trattano o che permettono il trattamento L’ufficio Formazione cura attraverso la È stata consultata la intranet per ______ di informazioni di carattere personale di intranet aziendale gli aggiornamenti al verificare la presenza di tali 4) Non applicabile ___ lavoratori" è stata resa nota e conoscibile personale relativi a tale adempimento. dagli outsourcer.5 Italia License . 4) Non applicabile ___ sistema". 2) Non conforme ___ 3) Parzialmente conforme l’elenco dei relativi "amministratori di Almeno una volta l’anno viene richiesto ______ sistema". provvede ad aggiornare il censimento dei trattamenti Note (per 3 o 4): ______________ Se i trattamenti sono affidati a terze parti Nei contratti di outsourcing sono inserite È stata presa visione degli elenchi forniti 1) Conforme _____ queste hanno comunicato al Titolare clausole specifiche a riguardo. "anche L’informativa ai dipendenti prevede tale È stata presa visione delle lettere di 1) Conforme _____ indirettamente servizi o sistemi che comunicazione. l'identità degli amministratori di sistema Note (per 3 o 4): nell'ambito delle proprie organizzazioni.Non commerciale 2. Lezione 3 – Unità didattica 3. ______________ 184 Creative Commons Attribuzione . l’aggiornamento della lista degli 4) Non applicabile ___ amministratori di sistema Note (per 3 o 4): ______________ Se il trattamento comprende. incarico.3 Giudizio di conformità sugli adempimenti richiesti Obiettivi di controllo Presidio Verifica effettuata Grado di conformità Censimento dei trattamenti Tutti i trattamenti di dati personali Il regolamento aziendale XX prevede che È stata presa visione dell’ultimo 1) Conforme _____ effettuati (anche in parte) mediante l’inizio di qualsiasi nuovo trattamento di censimento dei trattamenti disponibile 2) Non conforme ___ 3) Parzialmente conforme strumenti elettronici sono censiti e sono dati personali sia comunicato al presso il responsabile aziendale della ______ indicati i relativi "amministratori di responsabile aziendale della privacy che privacy e verificato che fosse completo.

disponibile la lettera di incarico ad "amministratore di sistema" che comprendente (al minimo): prevede le caratteristiche richieste dalla legge. ______ 4) Non applicabile ___ Note (per 3 o 4): ______________ • indicazione che la nomina ed il relativo 1) Conforme _____ nominativo sarà comunicato al personale 2) Non conforme ___ ed eventualmente a terzi nei modi 3) Parzialmente conforme richiesti dalla legge. • elencazione analitica degli ambiti di 1) Conforme _____ operatività richiesti e consentiti in base 2) Non conforme ___ al profilo di autorizzazione assegnato. ______ 4) Non applicabile ___ Note (per 3 o 4): ______________ Elenco degli amministratori Gli estremi identificativi delle persone È stato predisposto un "elenco degli È stato acquisito il DPS e l’allegato 1) Conforme _____ 185 Creative Commons Attribuzione . Lezione 3 – Unità didattica 3.5 Italia License . • attestazione che l’incaricato ha le caratteristiche richieste dalla legge.3 Lettera di incarico Per ogni "amministratore di sistema" è Esiste uno standard di lettera di incarico È stata acquisita copia dello standard.Non commerciale 2. 3) Parzialmente conforme ______ 4) Non applicabile ___ Note (per 3 o 4): ______________ • indicazione delle "verifiche" almeno 1) Conforme _____ annuali che il titolare svolgerà sulle 2) Non conforme ___ attività svolte dall’amministratore di 3) Parzialmente conforme sistema.

Non commerciale 2. Lezione 3 – Unità didattica 3. con l'elenco delle funzioni ad Programmatico sulla Sicurezza. Il DG non è a caratteristiche. richieste. amministratori di sistema è protetto con riservate custodite dal Direttore Generale. Note (per 3 o 4): ______________ Tali registrazioni (access log) hanno Il log degli accessi relativi agli È stata presa visione delle credenziali 1) Conforme _____ caratteristiche di completezza. ______________ annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante. 2) Non conforme ___ 3) Parzialmente conforme inalterabilità e possibilità di verifica della credenziali specifiche che sono custodite È stata presa visione del sistema ABC e ______ loro integrità adeguate al raggiungimento dal Direttore Generale in busta sigillata del manuale che ne descrive le 4) Non applicabile ___ dello scopo di verifica per cui sono dentro una cassaforte.5 Italia License . Il sistema ABC di gestione dei log 186 Creative Commons Attribuzione . Registrazione degli accessi È adottato un idoneo sistema per la In azienda è in uso il sistema ABC di È stata presa visione del sistema ABC e 1) Conforme _____ registrazione degli accessi logici gestione degli accessi logici. 3) Parzialmente conforme ______ essi attribuite. sono stati riportati nel 4) Non applicabile ___ Documento Programmatico sulla Sicurezza.3 fisiche nominate "amministratori di amministratori" ed allegato al Documento relativo all’elenco degli amministratori 2) Non conforme ___ sistema". In caso di Note (per 3 o 4): necessità le credenziali sono date in uso ______________ al personale tecnico e poi modificate e nuovamente assegnate al Direttore Generale. oppure. conoscenza delle credenziali. caratteristiche ______ elaborazione e agli archivi elettronici da 4) Non applicabile ___ parte degli amministratori di sistema. nei casi in cui il Note (per 3 o 4): titolare non sia tenuto a redigerlo. tale sistema del manuale che ne descrive le 2) Non conforme ___ 3) Parzialmente conforme (autenticazione informatica) ai sistemi di prevede il log degli accessi.

Le registrazioni comprendono i I log sono conservati per sei mesi. dell’azienda. 1) Conforme _____ riferimenti temporali e la descrizione 2) Non conforme ___ 3) Parzialmente conforme dell'evento che le ha generate e sono ______ conservate per un congruo periodo. tecniche e di verificato il rispetto degli obblighi 4) Non applicabile ___ sicurezza rispetto ai trattamenti dei dati normativi relativi all’amministratore di personali previste dalle norme vigenti. Sono stati visionati i log. viene ______ alle misure organizzative. 187 Creative Commons Attribuzione . viene ______ le verifiche sui relativi amministratori di richiesta alle terze parti che hanno in 4) Non applicabile ___ sistema in modo da controllare la outsourcing trattamenti di dati personali rispondenza alle misure organizzative. Programmatico sulla Sicurezza. Lezione 3 – Unità didattica 3. sistema. l’attestazione sulle verifiche Note (per 3 o 4): tecniche e di sicurezza rispetto ai del rispetto degli obblighi normativi ______________ trattamenti dei dati personali previste relativi all’amministratore di sistema. Annualmente. non 4) Non applicabile ___ inferiore a sei mesi.5 Italia License . con cadenza almeno annuale. in occasione È stata compilata la presente check list in 1) Conforme _____ è verificato. dalle norme vigenti. Note (per 3 o 4): ______________ Verifiche del titolare L'operato degli amministratori di sistema Annualmente. Note (per 3 o 4): ______________ Per i trattamenti affidati a terze parti. dell’aggiornamento del Documento occasione dell’aggiornamento del DPS: 2) Non conforme ___ 3) Parzialmente conforme in modo da controllare la sua rispondenza Programmatico sulla Sicurezza.Non commerciale 2. in occasione Sono state visionate le attestazioni da 1) Conforme _____ queste hanno attestato per iscritto di aver dell’aggiornamento del Documento parte degli outsourcer.3 mantiene copia inalterabile dei log. con cadenza almeno annuale. 2) Non conforme ___ 3) Parzialmente conforme effettuato.

000 a evidenza del fatto che i log perdita. 188 Creative Commons Attribuzione .000 euro costante aggiornamento degli amministratori di sistema in relazione agli adempimenti di legge.000 a formazione volti ad un minime di sicurezza 120. Rischio di accesso non autorizzato Rischio di trattamento non consentito o non conforme alle finalità della raccolta Verifiche del titolare Parzialmente conforme Non esistono piani di Mancata adozione di misure sanzione da 20. Vediamo un esempio. Lezione 3 – Unità didattica 3.000 euro non siano effettivamente dati modificabili.Non commerciale 2. anche accidentale.000 a società terze nominate autorizzato 120.000 euro responsabili del trattamento.5 Italia License . dei 120. Obiettivi di controllo Grado di conformità Note sul grado di conformità Rischi Impatti Censimento dei trattamenti Conforme Lettera di incarico Conforme Elenco degli amministratori Parzialmente conforme Mancano le liste relative a due Rischio di accesso non sanzione da 20. Rischio di trattamento non consentito o non conforme alle finalità della raccolta Registrazione degli accessi Parzialmente conforme Tecnicamente non si ha Rischio di distruzione o sanzione da 20.3 Valutazione dei possibili rischi (e relativi impatti) Il giudizio di conformità può portare all’individuazione di possibili rischi in particolare nel caso siano evidenziati “obiettivi di controllo” non completamente compliant.

delle liste entro 30 giorni. 1 giugno 2009 Ufficio Legale società terze nominate responsabili Disdire il contratto in mancanza del trattamento.5 Italia License . relazione agli adempimenti di legge 189 Creative Commons Attribuzione .3 Indicazioni dei possibili interventi (se necessari o opportuni) Di seguito un esempio di piano di azione in relazione ai rischi e agli impatti evidenziati. Obiettivi di controllo Note sul grado di conformità Azione Data di completamento In carico a Elenco degli amministratori Mancano le liste relative a due Ottenere le liste mancanti. Lezione 3 – Unità didattica 3. Registrazione degli accessi Tecnicamente non si ha evidenza Individuare una soluzione che 30 luglio 2009 Sistemi informativi del fatto che i log non siano garantisca l’immodificabilità dei effettivamente modificabili log.Non commerciale 2. Verifiche del titolare Non esistono piani di formazione Aggiornare il piano di 15 aprile 2009 Ufficio Formazione volti ad un costante aggiornamento formazione degli amministratori degli amministratori di sistema in di sistema.

. 2008. . consegnata la “lettera Lettera di incarico e Il regolamento sulle La lettera di incarico di incarico” non è Regolamento risorse informatiche comprende già le necessario redigere il aziendale rispondono a aziendali è istruzioni su come regolamento sulle due adempimenti obbligatorio ai sensi usare le risorse risorse informatiche diversi.5 Italia License .3 Domande di verifica 3. Lezione 3 – Unità didattica 3. Falso. della legge n. la verifica sull’operatore dell’amministratore di sistema è considerato in contrato con lo Statuto dei lavoratori. crimini informatici. Falso. Falso. 190 Creative Commons Attribuzione . Vero. È opportuno che Vero. aziendali. È sempre vietato usare Vero. Vero. adottata dall’azienda e esplicitamente indicato per attività personali. 2008.Non commerciale 2. beni aziendali sia censurabile.3 Domanda Prima risposta Seconda risposta Terza risposta Nel caso sia stata già Falso. l’operato Ciò è esplicitamente Ciò è esplicitamente Per quanto non dell’amministratore di richiesto dal vietato dal esplicitamente vietato sistema sia sottoposto provvedimento del provvedimento del dal provvedimento del a verifiche periodiche Garante del novembre Garante del novembre Garante del novembre da parte del titolare. la casella di posta Ciò è esplicitamente Dipende dalla politica Anche se non elettronica aziendale richiesto dal d.48 sui informatiche aziendali.lgs. 2008. Falso. 231-01 sulla comunicata ai la giurisprudenza responsabilità dipendenti all’atto ritiene che in ogni caso amministrativa degli dell’assunzione l’uso “personale” si enti.

Lezione 3 – Risposte alle domande di verifica Risposte alle domande di verifica della lezione 3 Domande di verifica 3. sicurezza sono Le “misure minime” obbligatorie. Nel DPS è Vero.Non commerciale 2.2 e risposte corrette Domanda Prima risposta Seconda risposta Terza risposta La redazione del DPS Vero. ad esempio il 191 Creative Commons Attribuzione . Domande di verifica 3. cioè del legale redazione del rappresentante Documento da un dell’azienda o ente. 31).1 e risposte corrette Domanda Seconda risposta Terza risposta Le misure minime di Falso. del DPs. organo. non ha nulla a che fare con gli obblighi di legge. obbligatorio inserire Si tratta di uno degli l’analisi dei rischi sui elementi obbligatori dati personali. Una azienda certificata Falso. ufficio o persona fisica a ciò legittimata.5 Italia License . ISO 27002 (qualità) La certificazione ISO non ha bisogno di 27002 è volontaria e redigere il DPS. cade sotto la Il titolare può farsi responsabilità del coadiuvare nella titolare. tutte le sono solo una parte altre sono facoltative degli accorgimenti obbligatori in materia di sicurezza in quanto vi è anche l’obbligo di adottare ogni altra misura di sicurezza idonea alla protezione dei dati (art.

5 Italia License . 192 Creative Commons Attribuzione . formazione. consegnata la “lettera Lettera di incarico e di incarico” non è Regolamento necessario redigere il aziendale rispondono regolamento sulle a due adempimenti risorse informatiche diversi. prevede tre fasi che Fasi e ordine delle nell’ordine sono: fasi sono corrette.3 e risposte corrette Domanda Prima risposta Seconda risposta Terza risposta Nel caso sia stata già Falso. la casella di posta Dipende dalla elettronica aziendale politica adottata per attività personali. Domande di verifica 3. consuntivo delle attività IL DPS deve formative già svolte sia la pianificazione delle attività contenere consuntivo formative che si intende e pianificazione della svolgere in futuro. dall’azienda e comunicata ai dipendenti all’atto dell’assunzione È opportuno che Vero. Il DPS deve contenere sia il Vero. Lezione 3 – Risposte alle domande di verifica responsabile dei trattamenti. L’analisi dei rischi Vero. novembre 2008. eliminare o gestire tale rischio. 1) elencare gli eventi potenzialmente pregiudizievoli 2) valutare il rischio per tali eventi 3) indicare le contromisure per mitigare. È sempre vietato usare Falso. aziendali. l’operato Ciò è esplicitamente dell’amministratore di richiesto dal sistema sia sottoposto provvedimento del a verifiche periodiche Garante del da parte del titolare.Non commerciale 2.

Non commerciale 2.5 Italia License . Lezione 3 – Caso di studio c – parte seconda Pagina lasciata intenzionalmente bianca 193 Creative Commons Attribuzione .

2 – Organizzare il diritto d’accesso Risposte alle domande di verifica della lezione 4 194 Creative Commons Attribuzione .Non commerciale 2. Lezione 4 – Diritto d’accesso Lezione 4 - Diritto d’accesso Caso di studio D – Gestire i diritti degli interessati Unità Didattica 4.1 – Adempimenti richiesti per il diritto d’accesso Unità Didattica 4.5 Italia License .

Percorso formativo • Corso per Responsabile dei trattamenti • Corso per Responsabile dei trattamenti con video sorveglianza • Corso per Responsabile dei trattamenti di marketing 195 Creative Commons Attribuzione .Non commerciale 2.5 Italia License . 7 del Codice in materia di protezione dei dati personali. Concetti chiave: • Diritto di accesso. • Casi reali in cui è intervenuto il Garante in relazione al diritto d’accesso. reclami. Lezione 4 – Diritto d’accesso Obiettivi di apprendimento • Cos’è il diritto di accesso? • Quali sono i diritti degli interessati? • Quali sono gli obblighi per le aziende? A chi si rivolge questa lezione? La lezione si rivolge ai Responsabili privacy aziendali. contenzioso. • Adempimenti aziendali. • Art. ai responsabili ed incaricati dei trattamenti degli uffici che si occupano di aspetti legali. customer satisfaction.

Lezione 4 – Caso di studio D Lezione 4 – Caso di studio D - Gestire i diritti degli interessati 196 Creative Commons Attribuzione .5 Italia License .Non commerciale 2.

una volta per tutte. • ottenere la rettifica dei propri dati personali se questi non sono aggiornati o completi.jsp?ID=1311248 193 http://www.garanteprivacy.it/content/glossario-privacy#Interessato 197 Creative Commons Attribuzione . Mi offre un caffè e parliamo un po’ del più e del meno prima di entrare in argomento. “Buongiorno ingegner Marcelli” mi saluta Rossetti facendomi accomodare nella sua stanza. l’opposizione è sempre valida se le finalità del trattamento sono l’invio di materiale pubblicitario o di vendita diretta o ricerche di mercato o comunicazione commerciale. cioè qualsiasi persona fisica. • opporsi al trattamento dei propri dati personali (se ciò non è in contrasto con eventuali altri obblighi contrattuali o di legge).arcobaleni196. quali sono le finalità dei trattamenti effettuati.Non commerciale 2.5 Italia License . ente o associazione cui si riferiscono i dati personali193.it/ 192 http://www.“ 191 http://www. dottoressa” le risposndo “Il Codice in materia di protezione dei dati personali192 stabilisce una serie di diritti di cui gode qualunque "interessato". Alla fine affrontiamo il problema.it/garante/doc. “Insomma caro ingegnere. l’azienda per cui ho svolto una serie di consulenze in ambito privacy. giuridica. Stavolta mi ha contattato la dottoressa Carmela Rossetti della funzione “Qualità e Controlli”: vuole dei chiarimenti sul tema del “diritto di accesso” secondo la normativa della privacy.” “E si può sapere. può spiegarmi cos’è questo diritto di accesso? Secondo alcuni chiunque può rivolgersi ad Arcobaleni196 e pretendere di sapere se trattiamo i suoi dati personali! Ma come è possibile? Noi non siamo mica una banca: dobbiamo pur lavorare senza essere interrotti ogni momento da qualcuno che reclama per la privacy!” “In verità è proprio come ha detto lei. Lezione 4 – Caso di studio D Eccomi di nuovo in Arcobaleni196191. chi all’interno dell’organizzazione del titolare tratta in pratica tali dati.compliancenet. quali sono questi diritti?” “L’interessato ha il diritto di: • sapere come i propri dati sono stati ottenuti dal titolare.

Tutto ciò è perfettamente in linea con lo spirito della legge sulla Privacy anche per gli aspetti che riguardano il diritto di accesso. Nell’home page del nostro sito.” “In che modo i vostri clienti insoddisfatti possono contattarvi per reclamare? Li obbligate. venissimo sanzionati proprio per il mancato rispetto del diritto di accesso!” “Occorre predisporre una serie di regole aziendali. in gran evidenza. Lezione 4 – Caso di studio D “Ma allora cosa dobbiamo fare? Il cavalier Arcobaleni è particolarmente preoccupato da quest’aspetto.” “Dica pure. a mandarvi una raccomandata o almeno un fax?” “Certamente no! Non sarebbe nello spirito della qualità creare difficoltà ai nostri clienti nelle comunicazioni con la nostra azienda. predisporre le procedure ed i regolamenti necessari per gestire il diritto d’accesso in azienda”. che so. Ci teniamo molto perché un cliente che protesta per noi è un segnale importantissimo che dobbiamo agire per migliorare qualche aspetto dei nostri servizi. Possiamo partire dalla vostra procedura reclami e "modificarla" per tener conto dei "reclami privacy". Non vorremmo che dopo aver fatto tanto per metterci in regola sugli aspetti normativi194 e di sicurezza195. Sicuramente avrete una procedura per la gestione dei reclami dei clienti. telegrammi …. è spiegato come rivolgersi all’ufficio Qualità per segnalare qualsiasi problematica. che permettano ad Arcobaleni196 di gestire questo tipo di adempimenti. 194 Lezione 2 195 Lezione 3 198 Creative Commons Attribuzione . riepilogare gli adempimenti richiesti dal diritto d’accesso 2. dottoressa?” “Certo ingegnere. Mi permetta però un’altra domanda. Direi di procedere su due direttive: 1. lettere cartacee.Non commerciale 2.5 Italia License . giusto?” “Naturalmente sì! Siamo certificati ISO9001 e curiamo moltissimo il rapporto con i nostri clienti” “Perfetto. Il cavalier Arcobaleni dice sempre: il nostro miglior cliente è il cliente che protesta perché ci aiuta a migliorare!” “Perfetto dottoressa Rossetti. email … Ovviamente anche fax. Accettiamo telefonate. Tutto molto semplice. Permette però una domanda. dica pure. raccomandate.” “Lei è la responsabile aziendale della "Qualità". o procedure organizzative se lei preferisce.

Lezione 4 – Caso di studio D Inizia il corso… 199 Creative Commons Attribuzione .Non commerciale 2.5 Italia License .

5 Italia License .1. Lezione 4 – Unità didattica 4.6 – Interventi più rilevanti del Garante sul diritto d’accesso Domande di verifica 4.1 Lezione 4 – Unità didattica 4.1.1.1 – Adempimenti richiesti per il diritto d’accesso Modulo 4.4 – Quesiti frequenti Modulo 4.1 – Mini glossario Modulo 4.1.3 – Adempimenti Modulo 4.1 200 Creative Commons Attribuzione .2 – Diritti dell’interessato Modulo 4.5 – Modello per esercitare il diritto d’accesso Modulo 4.1.1.Non commerciale 2.

7 del Codice. identificati o identificabili. ente od associazione. Lezione 4 – Unità didattica 4. Titolare Il “titolare del trattamento”.1. è tenuto a vigilare sulla puntuale osservanza delle istruzioni da impartire loro.5 Italia License . Il “titolare del trattamento” è chiamato ad attuare gli obblighi in materia (riassunti nella presente Guida) e.it/content/glossario-privacy 201 Creative Commons Attribuzione . la persona giuridica. In particolare. Interessato La persona fisica. l'ente o l'associazione cui si riferiscono i dati personali. Vai al glossario completo sulla Privacy196 196 http://www. la società) che tratta i dati (con la raccolta.Non commerciale 2. anche indirettamente. persona giuridica. la comunicazione o la diffusione).compliancenet. “titolare del trattamento” può essere la persona fisica (si pensi all'imprenditore individuale) o giuridica (ad esempio. ivi compreso il profilo della sicurezza" (art.1 Modulo 4. 28 del Codice). ivi compreso un numero di identificazione personale. è l’entità che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento. mediante riferimento a qualsiasi altra informazione.1 – Mini glossario Diritti degli La disciplina di protezione dei dati personali attribuisce a ciascun interessato il interessati diritto di accedere ai dati personali a sé riferiti e di esercitare gli altri diritti previsti dall'art. nell'ambito dello svolgimento dell'attività economica. Dato personale Qualunque informazione relativa a persona fisica. la registrazione. se ritiene di designare uno o più responsabili del trattamento.

• ottenere la rettifica dei propri dati personali se questi non sono aggiornati o completi. cioè la persona cui tali dati si riferiscono. PA. Se un titolare tratta dati personali. 197 http://www. l’opposizione è sempre valida se le finalità del trattamento sono l’invio di materiale pubblicitario o di vendita diretta o ricerche di mercato o comunicazione commerciale.it/garante/doc. o altro (cioè da un qualsiasi titolare di trattamento).jsp?ID=1311248 202 Creative Commons Attribuzione . chi all’interno dell’organizzazione del titolare tratta in pratica tali dati. Lezione 4 – Unità didattica 4.Non commerciale 2. l’interessato.1 Modulo 4.2 – Diritti dell’interessato Il “Codice in materia di protezione dei dati personali”197 prevede all'articolo 7 che chiunque possa conoscere se i propri dati personali sono trattati da una qualsiasi azienda.5 Italia License . ente.1. • opporsi al trattamento dei propri dati personali (se ciò non è in contrasto con eventuali altri obblighi contrattuali o di legge). associazione. quali sono le finalità dei trattamenti effettuati. ha il diritto di: • sapere come i propri dati sono stati ottenuti dal titolare.garanteprivacy.

Lezione 4 – Unità didattica 4. anche nell'ambito di uffici o servizi preposti alle relazioni con il pubblico. Modalità La risposta all’interessato (il cosiddetto riscontro del diritto d’accesso) può essere fornita in varie forme (anche oralmente) purché sia garantita la comprensione al richiedente. se l’interessato lo richiede la risposta deve essere data su supporto cartaceo. il titolare o il responsabile ne danno comunicazione all'interessato.Non commerciale 2. 145 del Codice). sono previste alcune deroghe (ad esempio se "non risulta confermata l'esistenza di dati che riguardano l'interessato" o se i dati personali figurano su uno speciale supporto del quale è richiesta specificamente la riproduzione oppure quando si determina un notevole impiego di mezzi in relazione alla complessità o all'entità delle richieste ed è confermata l'esistenza di dati che riguardano l'interessato) ma in ogni caso il contributo spese non può eccedere i costi effettivamente sopportati per la ricerca effettuata. Ricorso al Garante Se il titolare non dà riscontro all’interessato entro i termini prestabiliti ovvero è stato opposto alla richiesta un diniego anche parziale da parte del titolare allora i diritti di cui all'articolo 7 possono essere fatti valere dinanzi all'autorità giudiziaria o con ricorso al Garante (art. Spese In linea generale il titolare non può chiedere un pagamento all’interessato per il riscontro del diritto di accesso. • a semplificare le modalità e a ridurre i tempi per il riscontro al richiedente.3 – Adempimenti Per garantire nella pratica i diritti dell’interessato il titolare è tenuto (art. il termine per l'integrale riscontro è di trenta giorni dal ricevimento della richiesta medesima (art. anche attraverso l'impiego di appositi programmi informatici. Se le operazioni necessarie per un integrale riscontro alla richiesta sono di particolare complessità.it/garante/doc. 10 del “Codice”198 ) ad adottare idonee misure volte: • ad agevolare l'accesso ai dati personali da parte dell'interessato.1 Modulo 4. 198 http://www.jsp?ID=1311248 203 Creative Commons Attribuzione . 146.5 Italia License . informatico o per via telematica.1. In tal caso. Tempi Il titolare deve dare riscontro all’interessato entro quindici giorni dal ricevimento della richiesta (art. comma 3 del Codice). ovvero ricorre altro giustificato motivo.garanteprivacy. 146. comma 2 del Codice).

Bollettino del n. dei responsabili e del rappresentante designato ai sensi dell'articolo 5. riportate in supporti di vario tipo (sia cartaceo. 9. telefax o posta elettronica.5 Italia License . L’art. d) degli estremi identificativi del titolare. Art. 7: 1. comma 1. comma 1. In quali casi non può essere esercitato il diritto di accesso? Il diritto non può essere esercitato se i trattamenti di dati personali riguardano “materia di riciclaggio”. fermo restando che in tal caso non si può chiedere la rettifica della valutazione. 204 Creative Commons Attribuzione . 23/ottobre 2001) dichiara: “La nozione di dato personale comprende non solo dati personali di tipo oggettivo. l'interessato ha diritto di ottenere l'indicazione: a) dell'origine dei dati personali. del Codice recita: “la richiesta rivolta al titolare o al responsabile può essere trasmessa anche mediante lettera raccomandata. e la loro comunicazione in forma intelligibile. norme di contrasto alle richieste estorsive ed una serie di altre leggi e regolamenti indicate all’art. sia automatizzato).1 Modulo 4. 9.4 – Quesiti frequenti L’interessato può esercitare il diritto di accesso solo nei confronti di un titolare che tratti i suoi dati personali o nei confronti di un qualsiasi titolare? Il diritto di accesso può essere esercitato nei confronti di un qualsiasi titolare. ma anche informazioni personali contenute nell'ambito di valutazioni soggettive. comma 2. c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici.” Posso esercitare il diritto di acceso via posta elettronica? Sì. Il Garante accogliendo il riscorso di un lavoratore (30 ottobre 2001. Lezione 4 – Unità didattica 4. ma solo nei seguenti casi previsti ai commi 1) e 2) dell’art. anche se non ancora registrati. nel caso però “non risultasse confermata l'esistenza di dati che riguardano l'interessato” il titolare può richiedere un pagamento all’interessato ma tale contributo non può eccedere i costi effettivamente sostenuti. 2. e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato. conservate o meno in archivi strutturati. b) delle finalità e modalità del trattamento. Il diritto di accesso riguarda anche i dati di valutazione del personale? Sì. 8 del Codice. l'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano.Non commerciale 2.” Posso esercitare il diritto di acceso oralmente? Sì.1. di responsabili o incaricati.

anche mediante atti o documenti disponibili o esibizione o allegazione di copia di un documento di riconoscimento. Se l'interessato è una persona giuridica. Tale operazione deve essere 199 http://www. comma 4: “L'identità dell'interessato è verificata sulla base di idonei elementi di valutazione. farsi assistere da una persona di fiducia. per il medesimo oggetto e tra le stesse parti. La presentazione del ricorso al Garante rende improponibile un'ulteriore domanda dinanzi all'autorità giudiziaria tra le stesse parti e per il medesimo oggetto. È obbligatorio utilizzare il modello del Garante per esercitare il diritto di accesso? No.compliancenet. un ente o un'associazione. comma 3: “I diritti di cui all'articolo 7 riferiti a dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio. Lezione 4 – Unità didattica 4. L'interessato può.” Gli eredi di un interessato deceduto possono esercitare il diritto di accesso in relazione ai trattamenti del defunto? Sì.” Si può fare ricorso al Garante per la protezione dei dati personali o all’autorità giudiziaria nel caso il titolare non dia riscontro alla richiesta dell’interessato? Sì.garanteprivacy. è stata già adita l'autorità giudiziaria. Esiste un facsimile di modello da utilizzare per esercitare il diritto di accesso? Sì. delega o procura a persone fisiche. ovvero della delega sottoscritta in presenza di un incaricato o sottoscritta e presentata unitamente a copia fotostatica non autenticata di un documento di riconoscimento dell'interessato. commi 1 e 2. è formulata liberamente e senza costrizioni e può essere rinnovata.it/garante/document?ID=1089947 200 http://www. altresì. enti. “Aziende private e pubbliche amministrazioni devono aggiornare i propri archivi con le qualifiche professionali ed i titoli di studio acquisiti dai lavoratori.” Il titolare deve assicurarsi dell’identità di chi esercita il diritto di accesso? Sì.doc 205 Creative Commons Attribuzione . 9. ComplianceNet ne ha realizzato una copia in formato word200. per iscritto. art. La persona che agisce per conto dell'interessato esibisce o allega copia della procura. 9. associazioni od organismi. comma 5: “La richiesta di cui all'articolo 7. 145 del Codice). art.5 Italia License . art. 9. Il ricorso al Garante non può essere proposto se.Non commerciale 2. la richiesta è avanzata dalla persona fisica legittimata in base ai rispettivi statuti od ordinamenti” Si può reiterare la richiesta di diritto di accesso più di una volta? Sì. salva l'esistenza di giustificati motivi. Il lavoratore può ottenere dal datore di lavoro l’aggiornamento del suo titolo di studio? Sì.1 Si può delegare il diritto d’accesso? Sì. art. con intervallo non minore di novanta giorni.it/documenti/modello-diritto-accesso. Il Garante per la protezione dei dati personali ha realizzato un modello da utilizzare per esercitare il diritto di accesso199 disponibile solo in formato pdf. Se il titolare non dà riscontro all’interessato entro i termini prestabiliti ovvero è stato opposto alla richiesta un diniego anche parziale da parte del titolare allora i diritti di cui all'articolo 7 possono essere fatti valere dinanzi all'autorità giudiziaria o con ricorso al Garante (art. 9. comma 2: “nell'esercizio dei diritti di cui all'articolo 7 l'interessato può conferire. o agisce a tutela dell'interessato o per ragioni familiari meritevoli di protezione.

Lezione 4 – Unità didattica 4. che i dati personali oggetto di trattamento siano esatti e aggiornati. I dati trattati illecitamente vanno cancellati? Sì. È un mio diritto ricevere una risposta senza ritardo. il consenso “informato”. Posso oppormi alla pubblicità indesiderata? Sì. infatti. ecc. e-mail indesiderate.5 Italia License . Posso chiedere senza particolari formalità conferma dell’esistenza o meno di dati personali che mi riguardano. posso sempre oppormi gratuitamente all’utilizzazione dei dati che mi riguardano. se ho interesse. 201 http://www. È un mio diritto ottenere altre informazioni utili per comprendere come sono trattati i miei dati. alla banca o assicurazione. Posso verificare se un soggetto detiene informazioni che mi riguardano? Sì. ho il diritto di ottenerne gratuitamente la cancellazione o il “blocco” o la loro trasformazione in forma anonima.garanteprivacy. ho diritto di ottenere gratuitamente la correzione. o se il riscontro non è idoneo. comunicazioni commerciali. le province. Anche i ministeri. per quali scopi e se è stato manifestato. al datore di lavoro. la loro integrazione.it/garante/doc.” (Newsletter 6 - 12 gennaio 2003)201. Posso rivolgermi direttamente alla società. come vengono utilizzati. con quali particolari elaborazioni. anche nel caso abbia espresso in precedenza un consenso. all’ente pubblico o a chiunque altro custodisca informazioni sul mio conto. i comuni e gli altri soggetti pubblici devono consentirmi l’esercizio dei diritti attribuiti dalla legge. Con la stessa o con una successiva richiesta. Anche le pubbliche amministrazioni devono assicurare trasparenza? Sì. Questi diritti sono esercitabili rivolgendosi direttamente al titolare del trattamento anche tramite suoi incaricati o responsabili. quando è necessario. Posso rivolgermi al soggetto che ha inviato la comunicazione chiedendo di porre fine al trattamento dei dati e di non usarli più per invii postali. Se ricevo brochure pubblicitarie. Posso ottenere la correzione dei miei dati? Sì. Posso controllare il loro utilizzo? Sì. le regioni. è possibile rivolgersi alla magistratura ordinaria o al Garante. offerte promozionali.jsp?ID=34858 206 Creative Commons Attribuzione . Posso sapere dove sono stati raccolti i miei dati e il loro contenuto? Sì. messaggi e chiamate.1 tempestiva ed effettuata in ogni altro pertinente data base dell’azienda. La normativa sulla privacy prevede. l’aggiornamento e.Non commerciale 2. Se i dati sono trattati in violazione di legge. Posso esercitare il diritto di accesso ai dati personali e chiedere di conoscere dove sono state raccolte alcune informazioni personali di mio interesse o tutte quelle che mi riguardano. e conoscerne il contenuto. Se non si ottiene risposta.

30 giugno 2003. Di seguito è disponibile anche la versione word203 dello stesso modello (versione a cura di ComplianceNet sulla base del modello pdf del Garante). n.lg. Lezione 4 – Unità didattica 4.jsp?ID=1180222 203 http://www. Al __________________________ _____________________________ _____________________________ (Indirizzare al titolare o al responsabile del trattamento) OGGETTO: ESERCIZIO DI DIRITTI IN MATERIA DI PROTEZIONE DEI DATI PERSONALI ( artt.compliancenet.garanteprivacy. anche se non ancora registrati. La presente richiesta riguarda (indicare i dati personali. del Codice) Il sottoscritto intende accedere ai dati che lo riguardano e precisamente: chiede di confermargli l’esistenza o meno di tali dati. 7. 3 pp).Non commerciale 2. e/o chiede di comunicargli i medesimi dati in forma intelligibile ( art. 10 del Codice).5 Italia License . le categorie di dati o il trattamento cui si fa riferimento): _____________________________________________________________________________ _____________________________________________________________________________ 202 http://www.doc 207 Creative Commons Attribuzione . 196): (BARRARE SOLO LE CASELLE CHE INTERESSANO) Accesso ai dati personali ( art.1 Modulo 4.1.it/garante/doc. comma 1.5 – Modello per esercitare il diritto d’accesso Il Garante per la protezione dei dati personali ha reso disponibile un “modello” di modulo per esercitare il diritto di accesso: il modello del Garante è disponibile solo in formato pdf202 (130 K. 7 e 8 del Codice) Il/La sottoscritto/a _______________________________________________________________ nato/a a __________________________________________________ il __________________ esercita con la presente richiesta i suoi diritti di cui all’articolo 7 del Codice in materia di protezione dei dati personali (d.it/documenti/modello-diritto-accesso.

5 Italia License . di coloro ai quali i dati sono stati comunicati o diffusi. 7. Lezione 4 – Unità didattica 4. 7. del Codice) Il sottoscritto si oppone al trattamento dei dati per i seguenti motivi legittimi: _____________________________________________________________________________ _____________________________________________________________________________ La presente richiesta riguarda (indicare i dati personali. comma 3. del Codice) Il sottoscritto chiede di effettuare le seguenti operazioni: aggiornamento dei dati. le categorie di dati o il trattamento cui si fa riferimento): _____________________________________________________________________________ _____________________________________________________________________________ 208 Creative Commons Attribuzione .Non commerciale 2. le categorie di dati o il trattamento cui si fa riferimento): _____________________________________________________________________________ _____________________________________________________________________________ Opposizione al trattamento per fini pubblicitari ( art. rettificazione dei dati. La presente richiesta riguarda (indicare i dati personali. 7.1 (BARRARE SOLO LE CASELLE CHE INTERESSANO) Richiesta di intervento sui dati ( art. anche per quanto riguarda il suo contenuto. Opposizione al trattamento per motivi legittimi ( art. comma 4. cancellazione dei dati trattati in violazione di legge (compresi quelli di cui non è necessaria la conservazione). del Codice) Il sottoscritto si oppone al trattamento dei dati effettuato a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale. attestazione che tale intervento sui dati è stato portato a conoscenza. trasformazione in forma anonima dei dati trattati in violazione di legge (compresi quelli di cui non è necessaria la conservazione). integrazione dei dati. blocco dei dati trattati in violazione di legge (compresi quelli di cui non è necessaria la conservazione). comma 4.

se l’interessato si rivolge al Garante con un ricorso. Tuttavia. reclamo o ricorso: artt. ** Esibire o allegare copia di un documento di riconoscimento. se designato) del trattamento.Non commerciale 2. Lezione 4 – Unità didattica 4.1 Il sottoscritto si riserva di rivolgersi all’autorità giudiziaria o al Garante (con segnalazione. 141 ss. se l’identità del richiedente non è accertata con altri elementi.5 Italia License . 209 Creative Commons Attribuzione . del Codice) se entro 15 giorni dal ricevimento della presente istanza non perverrà un riscontro idoneo. Recapito per la risposta: Indirizzo postale: _____________________________________________________ Via/Piazza __________________________________________________________ Comune ____________________________________________________________ Provincia _________________________________Codice postale ______________ oppure e-mail: _____________________________________________________ oppure telefax: _____________________________________________________ oppure telefono*: _____________________________________________________ Eventuali precisazioni Il sottoscritto precisa (fornire eventuali spiegazioni utili o indicare eventuali documenti allegati): _____________________________________________________________________________ _____________________________________________________________________________ _____________________________________________________________________________ _____________________________________________________________________________ _____________________________________________________________________________ _____________________________________________________________________________ Estremi di un documento di riconoscimento**: _____________________________________________________________________________ _____________________________________________________________________________ _____________________________________________________________________________ _____________________________________________________________________________ ____________________ ______________________________________ ( Luogo e data) ( Firma) * Le richieste in esame e la relativa risposta possono essere anche orali. occorre allegare copia della richiesta rivolta al titolare (o al responsabile.

jsp?ID=1656954 205 http://www.garanteprivacy. • Provvedimento209 del 19 dicembre 2008 I dati contenuti all'interno delle cartelle cliniche dei defunti e 25 Newsletter n.Non commerciale 2.5 Italia License .1.jsp?ID=1638561 206 http://www.jsp?ID=1555676 212 http://www.garanteprivacy. web n.garanteprivacy.6 – Interventi più rilevanti del Garante sul diritto d’accesso Data Pubblicazione Note La registrazione di un colloquio telefonico che comporta 9 ottobre Newsletter n. 329204 l'attivazione di un nuovo servizio commerciale deve essere 2009 resa disponibile all'interessato che ne faccia richiesta: non è sufficiente che l'azienda gli fornisca la trascrizione dei contenuti della conversazione. 1557445] 204 http://www. web n.it/garante/doc. • Decisione207 del 26 marzo 2009: diritto di ispezione al libro soci nelle società per azioni - I lavoratori hanno diritto di conoscere tutti i dati personali 3 aprile Newsletter n. Lezione 4 – Unità didattica 4.it/garante/doc. 322206 conoscere l'indirizzo e i dati degli altri soci. La legge sulla privacy non limita la conoscibilità da parte degli azionisti dei dati personali contenuti nel libro soci e non si pone in contrasto con la trasparenza dell'attività societaria. 314212 plastica: anche le foto scattate prima e dopo gli interventi di 2008 chirurgia plastica contengono dati personali e i pazienti hanno il diritto di accedervi.it/garante/doc. 321208 che riguardano la gestione del rapporto di lavoro secondo 2009 le modalità previste dal Codice Privacy.it/garante/doc.jsp?ID=1560744 210 Creative Commons Attribuzione .it/garante/doc.garanteprivacy.1 Modulo 4.garanteprivacy.jsp?ID=1606023 208 http://www.jsp?ID=1582051 210 http://www.garanteprivacy. al fine di 2009 contattarli e di poter tutelare i propri legittimi interessi. 315210 di eventuali verbali dell' autopsia devono essere accessibili ai novembre familiari. 2008 • Provvedimento211 del 25 settembre 2008 [doc. 1555676] Il paziente può avere le foto degli interventi chirurgia 29 ottobre Newsletter n.it/garante/doc.garanteprivacy.it/garante/doc.it/garante/doc. Newsletter n.jsp?ID=1569524 211 http://www.garanteprivacy.it/garante/doc.jsp?ID=1602992 209 http://www. • Provvedimento205 dell’8 luglio 2009 [1638561] Gli azionisti di una società per azioni hanno diritto di 5 maggio.garanteprivacy. • Provvedimento213 del 2 ottobre 2008 [doc.jsp?ID=1611760 207 http://www.

garanteprivacy.it/garante/doc.garanteprivacy.it/garante/doc.garanteprivacy.1 Conti correnti: è gratuito l'accesso ai dati personali dei 6 ottobre Newsletter n.it/garante/doc. 2 maggio Newsletter n.garanteprivacy.it/garante/doc.jsp?ID=1127523 211 Creative Commons Attribuzione .it/garante/doc. che disporrà opportuni accertamenti. • Provvedimento225 del 23 dicembre 2004 É gratuito l’accesso ai propri dati personali detenuti da 21 Newsletter n.7 febbraio 2005 Quando chiede di accedere ai dati personali che lo riguardano.it/garante/doc.l'accesso ai dati personali contenuti nella 2008 documentazione bancaria riguardante una persona defunta deve essere garantito gratuitamente ai familiari.it/garante/doc. 2005 • Provvedimento221 – 7 luglio 2005 Il cittadino che intende lamentare una violazione della 9 maggio Newsletter n.jsp?ID=1448246 219 http://www.jsp?ID=1529604 217 http://www. 1541439] Le aziende che raccolgono dati dei loro clienti. Il 213 http://www.jsp?ID=1526956 218 http://www. 296218 privacy si possono conoscere i dati genetici.garanteprivacy.Non commerciale 2. anche di un 2007 defunto. 254224 l'interessato non è tenuto ad indicare specificamente in quali 2005 atti o documenti essi sono contenuti: chi gestisce la banca dati deve comunicare tutte le informazioni in suo possesso.jsp?ID=1148620 221 http://www. non può farlo rivolgendosi direttamente all'ufficio giudiziario o presentando ricorso al Garante.garanteprivacy. solo se riportati in referti.jsp?ID=1127523 225 http://www.jsp?ID=1553314 215 http://www.garanteprivacy. non possono conservarli a tempo 2008 indeterminato.it/garante/doc. • Decisioni su ricorsi215 .garanteprivacy.it/garante/doc. • Decisioni su ricorsi219. 320216 quelli potenziali. Lezione 4 – Unità didattica 4.5 Italia License . 260220 ricomparire in tv.jsp?ID=1433975 220 http://www. web n.jsp?ID=1557445 214 http://www.17 luglio 2008 [doc. • Decisioni su ricorsi223 .garanteprivacy.it/garante/doc.garanteprivacy.it/garante/doc.garanteprivacy.it/garante/doc.jsp?ID=1541439 216 http://www. ciò non esclude comunque che la persona interessata non possa esercitare altre azioni nelle competenti sedi giudiziarie.jsp?ID=1103505 224 http://www. ma deve segnalare il caso all'Autorità. anche di 1 luglio Newsletter n.jsp?ID=1131628 223 http://www.garanteprivacy. • Prescrizione217 del 19 maggio 2008 Avvalendosi del diritto di accesso riconosciuto dal Codice 16 ottobre Newsletter n. 313214 familiari defunti .jsp?ID=1148642 222 http://www.it/garante/doc. cartelle cliniche ecc. 255222 riservatezza o esercitare il diritto di accesso ai propri dati 2005 personali quando questi sono trattati per ragioni di giustizia da un ufficio giudiziario. Un modesto contributo spese è febbraio invece dovuto nel caso in cui se ne chieda la trascrizione su 2005 particolari supporti o le ricerche diano esito negativo.garanteprivacy. 21 giugno 2007 Privacy e televisione: quando si ha il diritto di non 19 luglio Newsletter n. 246226 società pubbliche o private.

garanteprivacy.23 dicembre 2004 [doc.it/garante/doc.jsp?ID=1104892 228 http://www. 193229 Il diritto di accesso regolato dalla normativa sulla privacy novembre consente al lavoratore di accedere a tutti i dati che lo 2003 riguardano detenuti dal proprio datore di lavoro. se non strettamente e direttamente riferite all’interessato. 1099386 Accesso ai dati personali da parte dei lavoratori 24 Newsletter n. 187230 dall’azienda ed ottenerne la comunicazione in forma completa 2003 e intelligibile.jsp?ID=1104859 227 http://www. ma non può essere esercitato per conoscere notizie di carattere contrattuale o professionale (quali. 226 http://www. gli accordi collettivi nazionali od aziendali). n.it/garante/doc.5 Italia License .jsp?ID=1056965 229 http://www. ma non può chiedere la creazione di dati non esistenti negli archivi o che gli venga fornita una rielaborazione personalizzata secondo criteri da lui indicati.garanteprivacy. 1104892] Lavoro.it/garante/doc. Lezione 4 – Unità didattica 4.garanteprivacy. • Deliberazioni227 .garanteprivacy.Non commerciale 2. a pena di sanzioni civili e penali. ad esempio. adottando anche. 230228 autorizzate 2004 Il Garante interviene contro l’indebita diffusione di una lettera contenente dati personali di una lavoratrice e di sua figlia disabile I datori di lavoro pubblici e privati devono trattare e conservare i dati dei loro dipendenti nel rispetto del diritto alla protezione dei dati. • Provvedimento del 27 luglio 2004 doc. web.jsp?ID=365886 212 Creative Commons Attribuzione .it/garante/doc.it/garante/doc. n. A maggior ragione se tra le informazioni raccolte compaiono dati sensibili riferiti ad un minore.1 contributo richiesto non può comunque superare i costi effettivamente sostenuti per la ricerca e gli importi massimi stabiliti dal Garante. Il lavoratore può avere accesso ai suoi dati personali detenuti 13 ottobre Newsletter n.jsp?ID=454143 230 http://www.garanteprivacy. web. Il fascicolo del dipendente è riservato. ogni idonea misura di sicurezza per prevenire eventi lesivi della privacy. solo copie 11 ottobre Newsletter n.

Falso. Vero. Vero ma a condizione Falso.Non commerciale 2. Il diritto di accesso Il diritto di accesso d’accesso solo nei fornitori o comunque può essere esercitato può essere esercitato confronti di titolari che si ritiene in modo nei confronti di nei confronti di trattano i suoi dati fondato che i propri qualunque azienda (o qualunque azienda (o personali dati personali sono titolare).1 Domande di verifica 4. esercitare il diritto Solo se si è clienti.1 Domanda Prima risposta Seconda risposta Terza risposta L’interessato può Vero. sempre esercitato in Il diritto può essere Il diritto d’accesso può Il diritto d’accesso va forma scritta esercitato anche essere esercitato anche esercitato oralmente purché via posta elettronica esclusivamente per l’interessato sia noto al purché la posta iscritto. elettronica sia del tipo “certificato” L’interessato può Vero in ogni caso. Il diritto di una particolare giorni tra una richiesta d’accesso non può azienda (o titolare) è e l’altra.5 Italia License . l’apposito modello predisposto dal Garante stesso (che tuttavia può essere inviato anche per email) 213 Creative Commons Attribuzione . Occorre però titolare) purché oggetto di trattamento che passino almeno 90 privato. Falso. essere esercitato nei possibile esercitare il confronti delle diritto d’accesso nei pubbliche confronti di tale amministrazioni azienda (o titolare) centrali. commerciali dei propri Garante utilizzando dati. Falso. Lezione 4 – Unità didattica 4. esercitare il diritto che l’interessato non Per opporsi all’invio d’accesso anche per abbia mai dato il delle comunicazioni opporsi all’invio di consenso al commerciali occorre comunicazioni trattamento per fini segnalare la cosa al pubblicitarie. Il diritto d’accesso va Falso. titolare.

Non commerciale 2.2 Lezione 4 – Unità didattica 4.2.2.3 – Problemi e soluzioni Domande di verifica 4.2 – Registro degli accessi Modulo 4. Lezione 4 – Unità didattica 4.2 214 Creative Commons Attribuzione .2.5 Italia License .1 – Responsabilità del diritto d’accesso Modulo 4.2 – Organizzare il diritto d’accesso Modulo 4.

2 Modulo 4. Se in azienda è già presente una funzione che si occupa della “gestione dei reclami” (ad esempio per la “Qualità”) è opportuno che le attività siano unificate.Non commerciale 2. Lezione 4 – Unità didattica 4. nella struttura organizzativa della società. Si può anche valutare di nominare (in organizzazioni “complesse”) un “Responsabile del diritto d’accesso” con il mandato di gestire le problematiche relative ai diritti previsti dall’articolo 7. in ogni caso il “Responsabile dei trattamenti” (se nominato) deve essere costantemente tenuto informato sulle richieste di “diritto di accesso”. secondo un tracciato standard. 215 Creative Commons Attribuzione . Coordinamento con altre funzioni aziendali Il “Responsabile” deve gestire il riscontro del diritto d’accesso da parte degli interessati coordinandosi con le altre funzioni aziendali quali: • Direzione Generale • Sistemi e Reti • Qualità e controlli • Risorse Umane Registrazione e gestione dei reclami Tutti i reclami giunti in relazione al “diritto d’accesso” devo essere registrati conservando le informazioni più importanti.5 Italia License .1 – Responsabilità del diritto d’accesso Struttura organizzativa Chi fa cosa È opportuno che. sia individuata una funzione che si occupi della gestione del “diritto di accesso” ai sensi dell’articolo 7 del “Codice”.2.

lgs. ivi compreso il profilo relativo alla sicurezza. Azienda. rif. ente o associazione cui si riferiscono i dati personali”) il diritto di accesso (come previsto dall’articolo 7 del “Codice”) in relazione a dati personali di cui è titolare Arcobaleni196 è necessario che ne venga data immediatamente comunicazione al Titolareprima di procedere al riscontro stesso.5 Italia License . e delle istruzioni suddette. vedi Modulo 2.3. Azienda dovrà seguire le seguenti istruzioni:  garantire che i trattamenti siano svolti nel pieno rispetto delle norme e di ogni prescrizione contenuta nel Codice. Altre istruzioni.3 – Diritto d’accesso esercitato presso terzi Può accadere che l’interessato eserciti il proprio “diritto di accesso” non presso il titolare (cioè presso l’azienda che detiene i suoi dati ma presso terzi (outsourcer. Azienda quale “Responsabile del trattamento” ai sensi dell'art.Non commerciale 2. specie nel caso di sistemi informativi affidati a terzi in outsourcing. collaboratori). Cordiali saluti 216 Creative Commons Attribuzione .2. per effetto del contratto stipulato il 21 settembre 2005.3. ai sensi dell'art. la facoltà di effettuare verifiche periodiche per vigilare sulla puntuale osservanza delle vigenti disposizioni in materia di trattamento.6 – Nomina del responsabile esterno) Esempio di lettera di nomina a Responsabile esterno dei trattamenti Spettabile Società Software1 Arcobaleni196 srl. dei comunicati ufficiali. giuridica. Con la presente Arcobaleni196 designa la Vs. delle autorizzazioni generali emessi dall'Autorità Garante per la Protezione dei Dati Personali (il “Garante”). se il fornitore è stato nominato “Responsabile (esterno) del trattamento” è necessario prevedere nella “lettera di nomina” una clausola specifica che regoli tali aspetti. In particolare. 29 comma 5 del Codice. nei relativi allegati compresi i codici deontologici. Modello di nomina al “Responsabile esterno” (tratto dalla Lezione 2 .Modulo 2.6 – Nomina del responsabile esterno)  nel caso venga esercitato da un “interessato” (come definito nel Codice: “qualsiasi persona fisica. fornitori. Ci riserviamo. 29 del d.2 Modulo 4.  (…. ABC1230. Lezione 4 – Unità didattica 4. 196/2003 “Codice in materia di protezione dei dati personali” (il “Codice”) in relazione ai trattamenti previsti nel contratto suddetto. delle future modificazioni ed integrazioni nonché informarsi e tenere conto dei provvedimenti. Questa eventualità va prevista e gestita. è “Titolare” di trattamenti di dati personali che sono esternalizzati presso la Vs. In relazione a tale nomina la Vs.

231 http://www. In pratica può essere qualsiasi dato (anche in formato cartaceo o multimediale) raccolto e gestito da Arcobaleni196.3 – Procedura per il diritto d’accesso (Questa procedura è disponibile in versione word231 presso il sito di ComplianceNet). giuridica. • opporsi al trattamento dei propri dati personali (se ciò non è in contrasto con eventuali altri obblighi contrattuali o di legge). ivi compreso un numero di identificazione personale. ente o associazione cui si riferiscono i dati personali) in relazione ai diritti previsti dall’articolo 7 del “Codice”.it/documenti/procedura-gestione-reclami-privacy. collaboratore • un cliente • un fornitore • chiunque ritenga che i propri dati personali siano gestiti da Arcobaleni196 Dato personale Qualunque informazione relativa a persona fisica. la persona giuridica. identificati o identificabili. Lezione 4 – Unità didattica 4.2.compliancenet. persona giuridica. l’opposizione è sempre valida se le finalità del trattamento sono l’invio di materiale pubblicitario o di vendita diretta o ricerche di mercato o comunicazione commerciale. Premessa La seguente procedura integra la procedura “gestione reclami” già in uso presso Arcobaleni196 per tener conto dei reclami relativi ai “dati personali” che possono pervenire da qualsiasi interessato (cioè come recita il “Codice in materia di protezione dei dati personali”: qualsiasi persona fisica.doc 217 Creative Commons Attribuzione . Diritti degli Ogni interessato ha il diritto di: interessati • sapere come i propri dati sono stati ottenuti dal titolare.5 Italia License . l'ente o l'associazione a cui si riferiscono i dati personali. • ottenere la rettifica dei propri dati personali se questi non sono aggiornati o completi. Glossario Reclamo privacy Qualsiasi comunicazione proveniente da un interessato (vedi) relativo alla gestione dei suoi dati personali Interessato La persona fisica. quali sono le finalità dei trattamenti effettuati. anche indirettamente. chi all’interno dell’organizzazione del titolare tratta in pratica tali dati. ente od associazione.Non commerciale 2. mediante riferimento a qualsiasi altra informazione. In pratica può essere: • un dipendente.2 Modulo 4.

brevi manu) • devono essere conservati a cura della struttura “Qualità e Controlli”. ecc.Non commerciale 2. È necessario rispondere al reclamo entro 15 giorni. Verifica dell’identità dell’interessato Il “reclamo privacy” va accettato in qualsiasi forma provenga. Lezione 4 – Unità didattica 4. Chiusura del reclamo Dopo l’invio della risposta il reclamo va chiuso nella procedura “Gestione Reclami” utilizzando il codice opportuno (esito positivo o negativo). tramite raccomandata.) valuta il reclamo e predispone la documentazione relativa per dare “riscontro” allo stesso. In casi eccezionali (che vanno documentati anche nei confronti dell’interessato) è possibile rispondere entro trenta giorni. Risposta all’interessato Le risposte. Gestione del reclamo La struttura “Qualità e Controlli”. un’associazione di categoria (o in altri casi simili) occorre farsi consegnare copia della procura o delega. Se il “reclamo privacy” proviene da un terzo che tratta i dati per conto di Arcobaleni196 (Responsabile esterno. fare fotocopie dei documenti identificativi.2 Presentazione dei “reclami privacy” I “reclami privacy”: • possono pervenire in qualsiasi modalità (cartacea. di consulenti esterni (Studio legale. Nel caso “Qualità e Controlli” ritenga che il reclamo non è legittimo occorre darne notizia al “Responsabile del trattamento” ed ottenerne il benestare.5 Italia License . vanno anticipate via email (o telefono) e inviate in forma scritta. Registrazione Tutti i “reclami privacy“vanno registrati per mezzo dell’apposita procedura informatica denominata “Gestione Reclami” già in uso per i reclami generici indicando nel campo “Tipo” il valore “reclamo privacy”. fax. fornitore. in linea generale. avvalendosi se necessario delle altre funzioni aziendali (risorse Umane. Nel caso il reclamo sia fatto da un legale. Copia del reclamo va consegnata al “Responsabile dei trattamenti”. sia positive che negative. posta. 218 Creative Commons Attribuzione .). Non serve. tuttavia è necessario assicurarsi dell’identità dell’interessato se questi non è già conosciuto. Sistemi e Reti. in tali casi copia del reclamo va consegnato al nostro consulente legale.) vanno registrati nel campo “Note” gli estremi dello stesso. ecc. ecc.

nell’informativa sia direttamente presso il nel sito web. sia considerata insufficiente.5 Italia License . prassi. Vero.2 Domande di verifica 4. È opportuno tenere un Vero. registro con le I registro deve essere Tenere un registro di Pur non essendo indicazioni dei diritti inviato tali informazioni obbligatorio la tenuta di accesso e delle trimestralmente al sarebbe una violazione di un registro dei relative risposte Garante. 219 Creative Commons Attribuzione . del Codice in materia ”diritti di accesso” è di protezione dei dati considerata una buona personali. preventivamente. Vero.Non commerciale 2. risposta o la risposta questioni. Falso. il diritto d’accesso È possibile farlo solo È possibile farlo nel La magistratura non si anche presso la se il Garante autorizza caso il titolare non dia occupa di tali magistratura. Vero. È possibile esercitare Vero. Falso. Lezione 4 – Unità didattica 4.2 Domanda Prima risposta Seconda risposta Terza risposta La nomina del Falso.. Vero. responsabile del diritto È opportuno nominare Il nominativo del Il nominativo del d’accesso è un responsabile ma in responsabile presso cui responsabile presso cui obbligatoria mancanza di esso far valere i propri far valere i propri l’interessato può far diritti va indicato diritti va indicato sia valere i propri diritti nell’informativa. titolare.

1 e risposte corrette Domanda Prima risposta Seconda risposta Terza risposta L’interessato può Falso. esercitare il diritto d’accesso anche per opporsi all’invio di comunicazioni pubblicitarie.5 Italia License . Il diritto d’accesso va Falso. sempre esercitato in Il diritto può essere forma scritta esercitato anche oralmente purché l’interessato sia noto al titolare. Occorre però che passino almeno 90 giorni tra una richiesta e l’altra. L’interessato può Vero in ogni caso. Lezione 4– Risposte alle domande di verifica Risposte alle domande di verifica della lezione 4 Domande di verifica 4.Non commerciale 2. esercitare il diritto Il diritto di accesso d’accesso solo nei può essere esercitato confronti di titolari che nei confronti di trattano i suoi dati qualunque azienda (o personali titolare). 220 Creative Commons Attribuzione .

il diritto d’accesso È possibile farlo nel anche presso la caso il titolare non magistratura.5 Italia License .2 e risposte corrette Domanda Prima risposta Seconda risposta Terza risposta La nomina del Falso. Lezione 4– Risposte alle domande di verifica Domande di verifica 4. 221 Creative Commons Attribuzione .. responsabile del diritto È opportuno d’accesso è nominare un obbligatoria responsabile ma in mancanza di esso l’interessato può far valere i propri diritti direttamente presso il titolare.Non commerciale 2. dia risposta o la risposta sia considerata insufficiente. È possibile esercitare Vero. registro con le Pur non essendo indicazioni dei diritti obbligatorio la tenuta di accesso e delle di un registro dei relative risposte ”diritti di accesso” è considerata una buona prassi. È opportuno tenere un Vero.

Lezione 5 – Videosorveglianza Lezione 5 - Videosorveglianza Caso di studio E – La videosorveglianza in azienda Unità Didattica 5.Non commerciale 2.5 Italia License .2 – Organizzare la videosorveglianza Risposte alle domande di verifica della lezione 5 222 Creative Commons Attribuzione .1 – Guida alla videosorveglianza Unità Didattica 5.

Concetti chiave: • Privacy e videosorveglianza. • Casi reali in cui è intervenuto il Garante in relazione alla videosorveglianza. al Responsabile dei trattamenti con videosorveglianza. • Adempimenti aziendali.5 Italia License . Lezione 5 – Videosorveglianza Obiettivi di apprendimento • Quando è possibile adottare un sistema di videosorveglianza? • Quali adempimenti sono richiesti per la videosorveglianza? • Come si deve organizzare l’azienda che adotta un sistema di videosorveglianza? A chi si rivolge questa lezione? La lezione si rivolge ai Responsabili privacy aziendali. agli incaricati dei trattamenti di dati personali relativi alla videosorveglianza.Non commerciale 2. Percorso formativo • Corso per Responsabile dei trattamenti • Corso per Responsabile dei trattamenti con video sorveglianza 223 Creative Commons Attribuzione .

Non commerciale 2. Lezione 5 – Caso di studio E Lezione 5 – Caso di studio E – La videosorveglianza in azienda 224 Creative Commons Attribuzione .5 Italia License .

Voglio beccare questi maledetti ladri…” “Buongiorno cavaliere” rispondo fissando assonnato la sveglia “come le avevo già detto le telecamere possono essere installate solo seguendo le disposizioni indicate dal Garante per la protezione dei dati personali. ad esempio mediante l’adozione di un sistema di videosorveglianza. l’azienda per cui ho svolto una serie di consulenze in ambito privacy. Nel caso della videosorveglianza ci sono proprio adempimenti speciali”.5 Italia License .jsp?ID=1311248 225 Creative Commons Attribuzione .” “Ma come? Abbiamo fatto il Documento Programmatico. nominato incaricati e responsabili.it/garante/doc.garanteprivacy. rapida ed economica. Ci vediamo tra un paio d’ore” Riattacco. Appena il tempo per un caffè e una brioche … 232 http://www.garanteprivacy. mandato un sacco di carta a destra e manca…. Tuttavia ogni qualvolta l’azienda comincia nuovi trattamenti di dati personali. sia verificare che non ci siano specifici adempimenti. Non mi dica che non abbiamo ancora finito!” “Caro cavaliere. “In azienda l’importante è aver predisposto un sistema di gestione aziendale della privacy capace di gestire via via le nuove problematiche. “Ma questa storia della privacy allora non finirà mai?” si lamenta il cavaliere. Addirittura ha promulgato uno specifico provvedimento generale233. ad esempio il censimento dei trattamenti. il direttore generale di Arcobaleni196232. sulla videosorveglianza il Garante ha dettato regole molto precise.” “Ingegnere perché non fa un salto qui da noi ingegnere e ci viene a spiegare tutto quel che occorre? Io intanto convoco i miei collaboratori.arcobaleni196. Arcobaleni196 è già conforme a tutte le disposizioni previste dal Codice in materia di protezione dei dati personali234.” “Va bene cavaliere. È il cavalier Arcobaleni.Non commerciale 2. Lezione 5 – Caso di studio E Alle 7 del mattino squilla il telefono.it/ 233 http://www.it/garante/doc. posso finalmente piazzare le telecamere negli uffici e in cortile? Ieri notte hanno tentato di forzare l’ingresso del magazzino sul lato nord. Il lavoro che abbiamo svolto nei nostri precedenti incontri ci permette adesso di affrontare il tema della videosorveglianza in maniere semplice. “Ingegnere” urla al telefono il cavaliere “ora che abbiamo messo tutto in regola per la privacy.jsp?ID=1003482 234 http://www. occorre sia aggiornare alcuni documenti.

” “Andiamo al sodo!” sbotta il cavaliere “cosa dobbiamo fare in pratica?” “Ho predisposto qualche slide con i punti su cui ci dobbiamo concentrare” rispondo “eccoli qua …” 235 http://www.garanteprivacy.jsp?ID=1311248 236 http://www. Le norme sulla privacy non vietano l’installazione di sistemi di videosorveglianza e di registrazioni di immagini ma richiedono che tali sistemi siano conformi al “Codice in materia di protezione dei dati personali”235 al provvedimento generale 29 aprile 2004 sulla videosorveglianza236 e rispettino.it/garante/doc. ore 9. Vorrei cominciare questo breve incontro su privacy e videosorveglianza ricordando lo spirito dei provvedimenti del Garante per la protezione dei dati personali in relazione alle telecamere. l’eventuale registrazione e conservazione delle immagini deve essere limitata nel tempo 3. Ciò significa che occorre sempre rispettare questi tre assunti: 1. la privacy dei cittadini. Lezione 5 – Caso di studio E Due ore dopo.5 Italia License . l’installazione di telecamere è lecita solo quando altre misure di sicurezza siano ritenute insufficienti o inattuabili 2. in generale.jsp?ID=1003482 226 Creative Commons Attribuzione . ufficio del cavalier Arcobaleni “Buongiorno a tutti e grazie di essere qui” esordisco di fronte al cavaliere e ai suoi più stretti collaboratori.garanteprivacy.00.it/garante/doc.Non commerciale 2. i cittadini devono sapere sempre e comunque se un’area è sottoposta a videosorveglianza.

Non commerciale 2.” “L’analisi l’abbiamo già fatta” esclama il cavaliere “e la conclusione è che se non facciamo qualcosa subito continueranno i furti nel magazzino e rimarrò in mutande”.5 Italia License . misure di protezione agli ingressi ecc. altri controlli fisici o logistici. 227 Creative Commons Attribuzione .) risultino realmente insufficienti o inattuabili. Questo tipo di impianti infatti possono essere attivati solo quando altre misure (sistemi d’allarme. 1) Analisi preliminare Adempimenti per la videosorveglianza “Perfetto” sottolineo io “questa analisi deve essere però redatta in forma scritta ed essere conservata presso il responsabile del trattamento o il titolare.” “Ha un modello da proporci?” chiede la signora Carmela Rossetti responsabile dell’ufficio “Qualità e Controlli”. Lezione 5 – Caso di studio E Adempimenti per la videosorveglianza “In primo luogo” inizio “prima di installare un impianto di videosorveglianza dobbiamo predisporre un’ analisi preliminare che ci premetta di valutare se l’utilizzazione delle telecamere sia realmente proporzionata agli scopi perseguiti o se non sia invece superflua.

228 Creative Commons Attribuzione .” 2) 1) Autorizzazione Analisi preliminare preliminare (solo se …) Adempimenti per la videosorveglianza “Perfetto” esclama Arcobaleni “noi vogliamo solo le telecamere senza altri sistemi biometrici.Non commerciale 2. deve essere informato che sta per accedere o che si trova in una zona videosorvegliata e dell’eventuale registrazione”.5 Italia License . Chiunque transiti in una zona soggetta a videosorveglianza. quindi anche un semplice passante. “Vorrei però chiederle una cosa” dice ancora la signora Rossetti. Che altro dobbiamo fare?” “Dobbiamo predisporre una nuova informativa specifica per i trattamenti di dati personali relativi alla videosorveglianza. Lezione 5 – Caso di studio E “Certo” rispondo io “più tardi vedremo insieme il modello standard di analisi e lo personalizzeremo con le specificità proprie della vostra azienda”. “Prego” “Dopo aver fatto l’analisi ed essere giunti alla conclusione che il sistema è necessario e che le immagini devono essere registrate possiamo procedere o ci serve un’autorizzazione da parte del Garante?” “Non serve un’autorizzazione del Garante per l’adozione della videosorveglianza tranne nel caso che i sistemi di videosorveglianza prevedano una raccolta delle immagini collegata e/o incrociata e/o confrontata con altri particolari dati personali (ad esempio dati biometrici) oppure con codici identificativi di carte elettroniche o con dispositivi che rendono identificabile la voce.

In luoghi diversi dalle aree esterne il cartello va integrato con almeno un avviso circostanziato che riporti gli elementi completi dell’informativa: • finalità e modalità del trattamento.Non commerciale 2.” 229 Creative Commons Attribuzione . in relazione alla vastità dell’area e alle modalità delle riprese. estremi identificativi del titolare e. Lo stesso Garante ha predisposto un modello semplificato di informativa minima sotto forma di cartello con un simbolo ad indicare l’area video sorvegliata. • diritti riconosciuti all'interessato dall'articolo 7 del Codice. questo cartello deve essere chiaramente visibile ed indicare chi effettua la rilevazione delle immagini e per quali scopi. • natura obbligatoria o facoltativa del conferimento dei dati e conseguenze di un eventuale rifiuto di rispondere. • soggetti o categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza. Lezione 5 – Caso di studio E 1) 2) Analisi Autorizzazione 3) preliminare preliminare Informativa (solo se …) Adempimenti per la videosorveglianza “Ha un modello da proporci?” “Certo.5 Italia License . se designato. vanno installati più cartelli. In presenza di più telecamere. del responsabile del trattamento.

a visionare le 230 Creative Commons Attribuzione . Il cavalier Arcobaleni si guarda intorno fissando per pochi secondi ognuno dei suoi collaboratori. Sembra di essere tornati a scuola quando c’erano le interrogazioni di matematica. Nell’aria non vola neanche una mosca.5 Italia License . atti di vandalismo.Non commerciale 2. ci consigli la soluzione migliore e più economica. quando chi intende rilevare le immagini deve perseguire un interesse legittimo a fini di tutela di persone e beni rispetto a possibili aggressioni. autorizzate ad utilizzare gli impianti e. Che altro dobbiamo fare?” esclama il cavaliere sfregandosi le mani. caro ingegnere. sulla base delle prescrizioni indicate dal Garante. furti. Lezione 5 – Caso di studio E “Ma serve anche il consenso?” chiede Carmela Rossetti. “No” rispondo “si possono installare telecamere senza il consenso degli interessati.” 1) 2) Analisi Autorizzazion 3) preliminare e preliminare Informativa (solo se …) Adempimenti per la videosorveglianza 4) Lettere di nomina “Perfetto è proprio il nostro caso. incaricate del trattamento. sicurezza del lavoro ecc.” “Si devono designare per iscritto tutte le persone fisiche. danneggiamenti. “Dobbiamo individuare chi sarà responsabile del sistema di videorveglianza e chi potrà utilizzarlo. nei casi in cui è indispensabile per gli scopi perseguiti. cioè chi sono gli incaricati del trattamento” dico io. rapine. prevenzione incendi. “La responsabile sarà la signora Rossetti” declama infine il Direttore Generale “per quanto riguarda coloro che potranno usare il sistema di videosorveglianza mi aspetti che lei.

” “Non si può evitare?” “Nelle aziende più piccole il regolamento può essere sostituito da istruzioni scritte per gli incaricati.Non commerciale 2. “È opportuno” argomento “che venga predisposto un regolamento aziendale relativo ai sistemi di videosorveglianza e registrazioni di immagini in uso presso l’azienda. Serve anche un regolamento aziendale specifico per la videosorveglianza” “Altra carta?” borbotta il cavaliere. Nel vostro caso consiglio di predisporre un regolamento. deve contenere le istruzioni operative suddivise per funzioni aziendali nonché le misure di sicurezza adottate. Lezione 5 – Caso di studio E registrazioni “ ricordo “vanno osservate le regole ordinarie anche per ciò che attiene all’eventuale designazione di responsabili (interni o esterni) del trattamento. avendo particolare cura al caso in cui il titolare si avvalga di un organismo esterno anche di vigilanza privata. Il regolamento.5 Italia License . Ovviamente ho un modello che possiamo adottare alle vostre esigenze…” “E facciamo anche ‘sto regolamento” concede Arcobaleni “che altro?” 1) 2) Analisi Autorizzazion 3) preliminare e preliminare Informativa (solo se …) Adempimenti per la videosorveglianza 4) Lettere di nomina 5) Regolamento aziendale 231 Creative Commons Attribuzione .” “Bene pensi a tutto lei ingegnere coordinandosi con la signora Rossetti. “No. Abbiamo finito?” chiede Arcobaleni. oltre a riportare il censimento aggiornato dei sistemi e dei relativi trattamenti nell’ambito in oggetto.

con conseguente possibilità per l'interessato di proporre l'istanza di accesso nei confronti del titolare e del responsabile del trattamento.it/ 232 Creative Commons Attribuzione . sia all’atto dell’introduzione del sistema di videosorveglianza.5 Italia License . Per Responsabile ed incaricati della loro gestione devono essere adottate opportune iniziative periodiche di formazione sui doveri. Lezione 5 – Caso di studio E “Occorre informare tutto il personale dell’esistenza delle telecamere. sulle garanzie e sulle responsabilità. Conto sul suo aiuto e su quello di CMa Consulting237 anche per questi aspetti.Non commerciale 2. sia in sede di modifiche delle modalità di utilizzo.cmaconsulting. dobbiamo predisporre nella procedura aziendale per il diritto di accesso una parte specifica per le immagini videoregistrate.” 237 http://www. Che altro?” 1) 2) Analisi Autorizzazion 3) preliminare e preliminare Informativa (solo se …) Adempimenti per la videosorveglianza 4) Lettere di nomina 5) 6) Formazione Regolamento aziendale “Un’ultima cosa” “Spari” “Dato che le immagini di una persona acquisite con un impianto di videosorveglianza costituiscono dati personali.” “Faremo anche questo.

Lezione 5 – Caso di studio E 1) 2) Analisi Autorizzazion 3) preliminare e preliminare Informativa (solo se …) 7) Diritto Adempimenti per la d’accesso videosorveglianza 4) Lettere di nomina 5) 6) Formazione Regolamento aziendale “Ci pensi lei insieme a Rossetti.Non commerciale 2. Ha finito?” “Sì” “Bene allora tutti al lavoro! Ed organizzi anche un bel corso di formazione sulla videosorveglianza in cui si riepilogano tutti gli adempimenti e il modo migliore in cui dobbiamo organizzarci per rispettare queste regole” conclude il cavaliere.5 Italia License . Inizia il corso… 233 Creative Commons Attribuzione .

1 234 Creative Commons Attribuzione .2 – Norme di riferimento Modulo 5.5 – Registrazioni di immagini Domande di verifica 5. Lezione 5 – Unità didattica 5.1 – Guida alla videosorveglianza Modulo 5.Non commerciale 2.1.1 – I principi generali Modulo 5.1 Lezione 5 – Unità didattica 5.1.1.4 – Cosa si può videosorvegliare Modulo 5.1.1.5 Italia License .3 – Interventi più rilevanti del Garante sulla videosorveglianza Modulo 5.

dall’altro.. di tutela della dignità. Vanno richiamate al riguardo le vigenti norme dell’ordinamento civile e penale in materia di interferenze illecite nella vita privata. di quanto prescritto da altre disposizioni di legge da osservare in caso di installazione di apparecchi audiovisivi. cabine. le norme riguardanti la tutela dei lavoratori.1 Modulo 5. Lezione 5 – Unità didattica 5. programma configurato in modo da consentire. inoltre. Ciascun sistema informativo e il relativo programma informatico vanno conformati già in origine in modo da non utilizzare dati relativi a persone identificabili quando le finalità del trattamento possono essere realizzate impiegando solo dati anonimi (es. Principio di necessità Il principio di necessità richiede che l’adozione del sistema di videosorveglianza escluda ogni uso superfluo ed eviti eccessi e ridondanze.garanteprivacy. Vanno tenute presenti. per soggetti privati ed enti pubblici economici.it/garante/doc.Non commerciale 2. ecc.). per monitorare il traffico. La videosorveglianza deve avvenire nel rispetto. dell’immagine. con particolare riferimento alla legge 300/1970 (Statuto dei lavoratori).1. va evitata la rilevazione di dati in aree o attività che non sono soggette a concreti pericoli. spogliatoi. stanze d’albergo. Il software va configurato anche in modo da cancellare periodicamente e automaticamente i dati eventualmente registrati. comma 1. a). Se non è osservato il principio di necessità riguardante le installazioni delle apparecchiature e l’attività di videosorveglianza non sono lecite (artt. principio di proporzionalità 4.5 Italia License . oltre che della disciplina in materia di protezione dei dati. solo riprese generali che escludano la possibilità di ingrandire le immagini). del Codice). principio di liceità 2.1 – I principi generali Nel Provvedimento generale 29 aprile 2004 sulla videosorveglianza238 Il Garante per la protezione dei dati personali ha chiaramente indicato quali sono i “principi generali” da rispettare quando si adotta un sistema di videosorveglianza: 1. principio di necessità 3. 3 e 11. del domicilio e degli altri luoghi cui è riconosciuta analoga tutela (toilette. Principio di liceità Il trattamento dei dati attraverso sistemi di videosorveglianza è possibile solo se è fondato su uno dei presupposti di liceità che il Codice prevede espressamente per gli organi pubblici da un lato e. principio di finalità. o per le quali non 238 http://www. Principio di proporzionalità Nel commisurare la necessità di un sistema al grado di rischio presente in concreto. lett.jsp?ID=1003482 235 Creative Commons Attribuzione .

Principio di finalità La videosorveglianza può essere adottata dal titolare solo per perseguire finalità di sua pertinenza e non ad esempio per finalità di sicurezza pubblica. Le finalità così individuate devono essere correttamente riportate nell’informativa. industriali. obiettivamente e con un approccio selettivo.5 Italia License . se l’utilizzazione ipotizzata sia in concreto realmente proporzionata agli scopi prefissi e legittimamente perseguibili. Anche l’installazione meramente dimostrativa o artefatta di telecamere non funzionanti o per finzione. abilitazioni agli ingressi.1 ricorre un’effettiva esigenza di deterrenza. deve valutare.Non commerciale 2. o che hanno lo scopo di agevolare l’eventuale esercizio. anche in relazione ad atti di vandalismo. misure di protezione degli ingressi. come quando. del diritto di difesa del titolare del trattamento o di terzi sulla base di immagini utili in caso di fatti illeciti. Se la loro installazione è finalizzata alla protezione di beni. Lezione 5 – Unità didattica 5. commerciali o di servizi. ad esempio. in sede di giudizio civile o penale. 236 Creative Commons Attribuzione . anche se non comporta trattamento di dati personali. Rispetta invece il principio di finalità l’adozione di sistemi di videosorveglianza come misura complementare volta a migliorare la sicurezza all’interno o all’esterno di edifici o impianti ove si svolgono attività produttive. le telecamere vengono installate solo per meri fini di apparenza o di prestigio. prevenzione o accertamento dei reati che invece competono solo ad organi giudiziari o di polizia giudiziaria oppure a forze armate o di polizia. prima di installare un impianto di videosorveglianza. Il titolare del trattamento. devono risultare parimenti inefficaci altri idonei accorgimenti quali controlli da parte di addetti. sistemi di allarme. può determinare forme di condizionamento nei movimenti e nei comportamenti delle persone in luoghi pubblici e privati e pertanto può essere legittimamente oggetto di contestazione. Gli impianti di videosorveglianza possono essere attivati solo quando altre misure siano ponderatamente valutate insufficienti o inattuabili.

jsp?ID=1003482 241 http://www. Lezione 5 – Unità didattica 5.1. Il modulo 2.garanteprivacy. l’elenco delle newsletter relative a questo tema è riportato nel prossimo modulo.garanteprivacy.2 – Norme di riferimento Il Garante ha pubblicato il 20 maggio 2004 una “guida alla videosorveglianza”239 che sintetizza i contenuti del più ampio provvedimento generale 29 aprile 2004 sulla videosorveglianza240. 239 http://www.5 Italia License .it/garante/doc.garanteprivacy.2.it/garante/doc.1 Modulo 5.garanteprivacy. informato di numerosi provvedimenti (per lo più sanzionatori) adottati in ambito “videosorveglianza. Presso il sito del Garante è anche disponibile un “Dossier Videosorveglianza”241 (aggiornato però fino al febbraio 2004) nonché una brochure dal titolo "La protezione dei dati personali e la Videosorveglianza" (pdf242) Attraverso la sua newsletter il Garante ha.Non commerciale 2.it/garante/document?ID=1382779 237 Creative Commons Attribuzione .jsp?ID=1002987 242 http://www. infine.it/garante/doc.9 – Videosorveglianza riporta una sintesi delle principali norme di riferimento in quest’ambito.jsp?ID=1006052 240 http://www.

6 febbraio 2005 Newsletter 17 .5 Italia License .1.23 Videosorveglianza: nuove garanzie per i cittadini maggio 2004 Newsletter 24 I Garanti UE aprono la consultazione sulla videosorveglianza febbraio .8 Biglietti numerati e videosorveglianza negli stadi. Lezione 5 – Unità didattica 5.2 marzo 2003 Newsletter 3 . ma con limiti settembre 2009 precisi Telecamere e dati biometrici sotto la lente del Garante Newsletter 19 maggio Videosorveglianza ed esigenze di sicurezza 2009 Newsletter 3 aprile Videosorveglianza: no al controllo dei lavoratori 2009 Newsletter 2 marzo Vietate le telecamere negli spogliatoi 2009 Newsletter 16 Telecamere con le orecchie: stop del Garante gennaio 2009 Newsletter 17 giugno Telecamere condominali. servono regole chiare 2008 Newsletter 29 Telecamere con vista novembre 2007 Newsletter 2 .9 Videosorveglianza in Europa: Il progetto 'Urbaneye' febbraio 2003 238 Creative Commons Attribuzione .1 Modulo 5.3 – Interventi più rilevanti del Garante sulla videosorveglianza Pubblicazione/data Contenuti in ambito videosorveglianza Newsletter 22 Scuola: contro atti vandalici sì a telecamere. Il parere del maggio 2005 Garante Newsletter 21 – 27 Videosorveglianza: nuovi interventi del Garante febbraio 2005 Newsletter 31 Controlli sulle telecamere gennaio .Non commerciale 2.

videosorveglianza. giornalisti e videocamere nascoste .26 Unabomber: Garante su telecamere ipermercato luglio 2002 Newsletter 20 . 5 maggio 2002 lavoro Newsletter 11 . Multa per mancata informativa ai marzo 2002 clienti Newsletter 4 .17 Telecamere in discoteca.15 Privacy: telecamere sugli autobus solo se passeggeri garantiti settembre 2002 Newsletter 15 . Lezione 5 – Unità didattica 5.6 ottobre 2002 Newsletter 9 .10 Videosorveglianza dei lavoratori.12 Telecamere in banca: ripresi solo i piedi.26 Telecamere: multato un supermercato maggio 2002 Newsletter 29 aprile .5 novembre 2000 Newsletter 27 Videosorveglianza. Il decalogo dei Garanti europei settembre .Non commerciale 2.3 giugno 2001 Newsletter 11 .1 Newsletter 6 .20 Le linee guida del Consiglio d'Europa sulla videosorveglianza ottobre 2002 Newsletter 30 Videosorveglianza. Le regole per non violare la privacy novembre . Precisazione del gennaio 2003 Garante Newsletter 14 .3 Privacy e videosorveglianza dicembre 2000 239 Creative Commons Attribuzione .5 Italia License . Codici deontologici al via per Internet.17 Tenuti d'occhio dalla tv giugno 2001 Newsletter 28 Videosorveglianza: i Comuni devono rispettare la privacy febbraio .5 marzo 2000 Newsletter 3 . Rapporto della Cnil febbraio 2002 Newsletter 28 maggio Videoserveglianza: niente webcam nell'ufficio del sindaco .9 Videosorveglianza in mare e tutela della riservatezza aprile 2000 La Risoluzione dei Garanti tedeschi sulla videosorveglianza Newsletter 30 ottobre Avvocati.

Non commerciale 2.5 Italia License .5 dicembre 1999 Newsletter 20 .31 Riprese televisive sul posto di lavoro ottobre 1999 Newsletter 29 Videosorveglianza in Germania novembre .1 Newsletter 25 . Lezione 5 – Unità didattica 5.26 La telecamera da sola non serve a nulla dicembre 1999 240 Creative Commons Attribuzione .

Non commerciale 2. prevenzione e accertamento dei reati. docce. nessuna ripresa di aree comuni o antistanti le abitazioni di altri condomini ecc. nei luoghi di culto e sepoltura. danneggiamenti. da concrete situazioni di pericolo. di calpestare aiuole. turistici o pubblicitari. armadietti. L’installazione da parte di singoli condomini richiede comunque l’adozione di cautele: angolo visuale limitato ai soli spazi di propria pertinenza. sia all’interno degli edifici. Negli istituti scolastici l’installazione di sistemi di videosorveglianza è ammissibile solo quando strettamente indispensabile (esempio: atti vandalici) e solo negli orari di chiusura. rapine. per un’azienda esse di solito sono volte al contrasto di aggressioni.4 – Cosa si può videosorvegliare Principio di base Chi installa telecamere deve perseguire finalità determinate e di propria pertinenza.5 Italia License . furti. Lezione 5 – Unità didattica 5. Inammissibili le telecamere in luoghi non destinati all’attività lavorativa (bagni. Casi illeciti Non è lecito (neanche per le amministrazioni comunali) usare la videosorveglianza per finalità di sicurezza pubblica. I videocitofoni sono ammessi per finalità identificative dei visitatori. Casi particolari Negli ospedali e nei luoghi di cura è ammesso il monitoraggio di pazienti ricoverati in particolari reparti (esempio: rianimazione). Potranno accedere alle immagini solo il personale autorizzato e i familiari dei ricoverati. spogliatoi.1. prevenzione incendi. Sono ammesse. Divieto assoluto di controllo a distanza dei lavoratori rispettando le garanzie previste in materia di lavoro. di studi professionali. telecamere su alcuni mezzi di trasporto pubblici. attraverso webcam o che rendano identificabili i soggetti ripresi. Sono ingiustificati gli impianti installati al solo fine di controllare il divieto di fumare. sicurezza del lavoro.1 Modulo 5. Non risulta giustificata un’attività di rilevazione a fini promozionali. luoghi ricreativi). sia in altri luoghi di prestazione del lavoro. finalità che competono invece solo ad organi giudiziari o a forze armate o di polizia. atti di vandalismo. di depositare sacchetti dell’immondizia etc. Condomini e videocitofoni Le riprese di aree condominiali da parte di più proprietari o condomini. società ed enti sono ammesse esclusivamente per preservare. la sicurezza di persone e la tutela dei beni. nel rispetto di principi specifici. False telecamere 241 Creative Commons Attribuzione .

1 Anche l’installazione meramente dimostrativa o artefatta di telecamere non funzionanti o per finzione. 242 Creative Commons Attribuzione . anche se non comporta trattamento di dati personali.5 Italia License . Lezione 5 – Unità didattica 5.Non commerciale 2. può determinare forme di condizionamento nei movimenti e nei comportamenti delle persone in luoghi pubblici e privati e pertanto può essere legittimamente oggetto di contestazione.

password) per visionare le registrazioni • diversi profili di autorizzazione per accedere alla visione delle immagini registrate (ad esempio: per manutentore. Durata di conservazione delle immagini In caso di registrazione.Non commerciale 2.1 Modulo 5. per forze di polizia) • sistemi di cifratura delle registrazioni. riducendo al minimo i rischi di distruzione.1. fatte salve speciali esigenze di ulteriore conservazione in relazione a indagini. Per attività particolarmente rischiose (esempio: banche) è ammesso un tempo più ampio. Misure di sicurezza I dati personali. controllo del flusso ad uno sportello ecc. che non può superare comunque la settimana. devono essere protetti da idonee e preventive misure di sicurezza. compresi quelli relativi al trattamento di videosorveglianza.5 – Registrazioni di immagini Principio di base Va limitata rigorosamente la creazione di banche dati quando è sufficiente installare un sistema a circuito chiuso di sola visione delle immagini senza la loro registrazione (monitoraggio del traffico. il periodo di conservazione delle immagini deve essere limitato: a poche ore o al massimo 24 ore. 243 Creative Commons Attribuzione . di accesso non autorizzato o trattamento non consentito o non conforme alle finalità della raccolta.). Tra le misure di sicurezza che devono essere adottate: • locali con accesso protetto da badge • armadi chiusi a chiave per la custodia dei supporti • sistemi di controllo accessi (user-id. anche accidentale. Le “misure minime di sicurezza” sono obbligatorie anche sul piano penale. Lezione 5 – Unità didattica 5. perdita. Il titolare del trattamento che si avvale di un soggetto esterno deve ricevere dall’installatore una descrizione scritta dell’intervento effettuato che ne attesti la conformità alle regole in materia. per responsabile del trattamento.5 Italia License .

Vero. Solo la magistratura Vero. Se le telecamere Falso. nel 2008. tutti i responsabili stati incaricati di tale la polizia trattamento. Falso.Non commerciale 2.5 Italia License . la magistratura 244 Creative Commons Attribuzione .. Falso.. indicato adottate dal Garante nell’informativa. Lezione 5 – Unità didattica 5. Falso. registrano le immagini È opportuno.1 Domande di verifica 5. nominare responsabile dei obbligatoria ma è stata nomina del un responsabile per i trattamenti di video poi abrogata con le responsabile del diritto trattamenti di video sorveglianza va semplificazioni d’accesso sorveglianza. è richiesto se le Occorre in ogni caso In tal caso non esiste La novità è compresa telecamere non predisporre una trattamento di dati nelle semplificazioni registrano immagini informativa minima personali.1 Domanda Prima risposta Seconda risposta Terza risposta Nessun adempimento Falso. può visionare le Solo la magistratura ha Possono visionare le Le immagini possono immagini registrate il diritto di visionare le immagini: essere visionate da dalle telecamere immagini registrate da il titolare tutti coloro che sono telecamere. cartello. Vero. adottate dal Garante anche sotto forma di nel 2008. ma non Il nominativo del La nomina era è obbligatoria la obbligatorio. Vero.

5 Italia License .Non commerciale 2. Lezione 5 – Unità didattica 5.1 Pagina lasciata intenzionalmente bianca 245 Creative Commons Attribuzione .

2 246 Creative Commons Attribuzione .2.2. Lezione 5 – Unità didattica 5.2.1 – Riepilogo degli adempimenti organizzativi Modulo 5.3 – Regolamento aziendale sulla videosorveglianza Modulo 5.2.2 – Analisi preliminare Modulo 5.Non commerciale 2.2 Lezione 5 – Unità didattica 5.2 – Organizzare la videosorveglianza Modulo 5.4 – Modulistica per la videosorveglianza Modulo 5.5 – Check list sulla videosorveglianza Domande di verifica 5.2.5 Italia License .

Gli impianti devono cioè essere attivati solo quando altre misure (sistemi d’allarme. deve essere informato che sta per accedere o che si trova in una zona videosorvegliata e dell’eventuale registrazione. misure di protezione agli ingressi ecc. vanno installati più cartelli. del responsabile del trattamento. quando chi intende rilevare le immagini deve perseguire un interesse legittimo 247 Creative Commons Attribuzione . In luoghi diversi dalle aree esterne il "cartello" va integrato con almeno un avviso circostanziato che riporti gli elementi completi dell’informativa: • finalità e modalità del trattamento. estremi identificativi del titolare e.2 Modulo 5. sulla base delle prescrizioni indicate dal Garante. Consenso Si possono installare telecamere senza il consenso degli interessati.5 Italia License . Lezione 5 – Unità didattica 5. quindi anche un semplice cittadino.1 – Riepilogo degli adempimenti organizzativi Analisi preliminare Prima di installare un impianto di videosorveglianza occorre valutare se la sua utilizzazione sia realmente proporzionata agli scopi perseguiti o se non sia invece superflua. Autorizzazione preliminare È necessario una autorizzazione preliminare da parte del Garante solo nel caso che i sistemi di videosorveglianza prevedano una raccolta delle immagini collegata e/o incrociata e/o confrontata con altri particolari dati personali (ad esempio dati biometrici) oppure con codici identificativi di carte elettroniche o con dispositivi che rendono identificabile la voce. ciò anche nei casi di eventi e in occasione di spettacoli pubblici (concerti. in relazione alla vastità dell’area e alle modalità delle riprese. se designato. Questa analisi deve essere sintetizzata in forma scritta ed il documento conservato presso il responsabile del trattamento o il titolare. Il Garante ha predisposto un modello semplificato di informativa minima sotto forma di "cartello" con un simbolo ad indicare l’area video sorvegliata. altri controlli fisici o logistici.Non commerciale 2. manifestazioni sportive) o di attività pubblicitarie (attraverso web cam).) siano realmente insufficienti o inattuabili. Il documento deve riportare anche la dislocazione e la tipologia delle apparecchiature (fisse o mobili) utilizzate. • soggetti o categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza. Informativa Chiunque transiti in una zona soggetta a videosorveglianza.2. In presenza di più telecamere. • natura obbligatoria o facoltativa del conferimento dei dati e conseguenze di un eventuale rifiuto di rispondere. questo cartello deve essere chiaramente visibile ed indicare chi effettua la rilevazione delle immagini e per quali scopi. • diritti riconosciuti all'interessato dall'articolo 7 del Codice.

2 a fini di tutela di persone e beni rispetto a possibili aggressioni. incaricate del trattamento. sia all’atto dell’introduzione del sistema di videosorveglianza. Formazione Devono essere adottate opportune iniziative periodiche di formazione degli incaricati sui doveri. avendo particolare cura al caso in cui il titolare si avvalga di un organismo esterno anche di vigilanza privata. dovrebbe contenere le istruzioni operative suddivise per funzioni aziendali nonché le misure di sicurezza adottate. danneggiamenti. Lezione 5 – Unità didattica 5. 248 Creative Commons Attribuzione . Responsabili ed incaricati Si devono designare per iscritto tutte le persone fisiche. sulle garanzie e sulle responsabilità. sicurezza del lavoro ecc. rapine. Nelle aziende più piccole il regolamento può essere sostituito da istruzioni scritte per gli incaricati. Diritto di accesso Le immagini di una persona acquisite con un impianto di videosorveglianza costituiscono dati personali. furti. prevenzione incendi.Non commerciale 2. Vanno osservate le regole ordinarie anche per ciò che attiene all’eventuale designazione di responsabili (interni o esterni) del trattamento. nei casi in cui è indispensabile per gli scopi perseguiti. oltre a riportare il censimento aggiornato dei sistemi e dei relativi trattamenti nell’ambito in oggetto. sia in sede di modifiche delle modalità di utilizzo. Il regolamento. atti di vandalismo. Regolamento aziendale È opportuno che venga predisposto un regolamento aziendale relativo ai sistemi di videosorveglianza e registrazioni di immagini in uso presso l’azienda.5 Italia License . autorizzate ad utilizzare gli impianti e. a visionare le registrazioni. con conseguente possibilità per l'interessato di proporre l'istanza di accesso nei confronti del titolare e del responsabile del trattamento.

compliancenet.it/content/privacy-modello-di-analisi-preliminare-sulla-videosorveglianza-con-licenza- aperta 244 http://creativecommons.compliancenet.2.pdf 246 http://www. Indice del modello di "analisi preliminare" sulla videosorveglianza • Premessa • Normativa di riferimento • Bilanciamento di interessi e principio di necessità • Descrizione del sistema di videosorveglianza e rispetto del principio di proporzionalità • Altri documenti aziendali relativi alla videosorveglianza 243 http://www.5 Italia License244 di questo libro ed è disponibile in formato pdf245 e Microsoft word 97-2003246.doc 249 Creative Commons Attribuzione .5/it/legalcode 245 http://www.Non commerciale 2.it/documenti/analisi-preliminare-videosorveglianza.compliancenet. Lezione 5 – Unità didattica 5.it/documenti/analisi-preliminare-videosorveglianza. L’autore del modello è Carla Marcelli di CMA Consulting.Non commerciale 2.2 Modulo 5.5 Italia License .org/licenses/by-nc/2. Il modello è rilasciato con la stessa “licenza aperta” Creative Commons Attribuzione .2 – Analisi preliminare Sul sito di ComplianceNet è disponibile un modello di “Analisi preliminare"243 sulla videosorveglianza (versione del 22 ottobre 2009).

it/content/privacy-modello-di-regolamento-aziendale-sulla-videosorveglianza-con- licenza-aperta 248 http://creativecommons.Non commerciale 2.5 Italia License .doc 250 Creative Commons Attribuzione .2 Modulo 5.it/documenti/regolamento-videosorveglianza.Non commerciale 2.it/documenti/regolamento-videosorveglianza.compliancenet.2.compliancenet. Lezione 5 – Unità didattica 5.org/licenses/by-nc/2.pdf 250 http://www. Indice del modello di "regolamento aziendale sulla videosorveglianza" • Premessa • Soluzione adottata • Premessa • Motivazione • Sistema adottato • Struttura organizzativa o Titolare dei trattamenti relativi alla “videosorveglianza” o Responsabilità del sistema di “videosorveglianza” o Incaricati al trattamento dei dati personali del sistema di “videosorveglianza” • Misure di sicurezza o Protezione della trasmissione delle immagini dalle telecamere o Protezione del pc contenente le registrazioni o Rispetto delle norme di legge e delle disposizioni del garante per la protezione dei dati personali • Adempimenti specifici richiesti per la privacy o Informativa o Formazione o Diritto d’accesso • Allegati o Analisi preliminare sulla videosorveglianza o Nomina del responsabile dei trattamenti di videosorveglianza o Nomina degli incaricati dei trattamenti di videosorveglianza 247 http://www.5 Italia License248 di questo libro ed è disponibile in formato pdf249 e Microsoft word250 97-2003.compliancenet.3 – Regolamento aziendale sulla videosorveglianza Sul sito di ComplianceNet è disponibile un modello di "Regolamento aziendale" sulla videosorveglianza247 (data: 28 ottobre 2009).5/it/legalcode 249 http://www. L’autore del modello è Carla Marcelli di CMA Consulting. Il modello è rilasciato con la stessa “licenza aperta” Creative Commons Attribuzione .

4 – Modulistica per la videosorveglianza Nomina del responsabile dei trattamenti di videosorveglianza Nota: il Direttore Generale di Arcobaleni196 è stato precedentemente nominato “Responsabile dei trattamenti” con la delega (da parte del Consiglio di Amministrazione) a nominare ulteriori responsabili interni o esterni. La nomina avviene dopo aver constatato che lei. Lezione 5 – Unità didattica 5. L’azienda si riserva.  provvede su richiesta delle autorità giudiziarie o di polizia a fare copia delle immagini registrate per le stesse autorità. avvalendosi ove necessario anche delle altre unità operative aziendali e dei consulenti esterni (legale. capacità ed affidabilità idonei a fornire garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento. del lavoro):  garantisce il buon funzionamento del sistema di videosorveglianza aziendale così come descritto nel “Regolamento videosorveglianza” allegato alla presente lettera di nomina. 196 “Codice in materia di trattamento dei dati personali”.Non commerciale 2. in relazione al grado ricoperto in azienda. ai sensi dell'art. verifica. lei viene nominata “Responsabile del trattamento dei dati” per i soli trattamenti relativi alla videosorveglianza. Nella qualità di “Responsabile dei trattamenti di videosorveglianza” lei.  si coordina con le funzioni aziendali di gestione dei “Reclami” in caso venga esercitato il diritto d’accesso in relazione ai trattamenti di videosorveglianza dandone pronta notizia al Direttore Generale. con l’assistenza del responsabile “Sistemi e Reti” individua. A: Carmela Rossetti Ai sensi dell’art. incarica/revoca la società di manutenzione degli apparati di videosorveglianza dando istruzioni sulle modalità operative anche in relazione alla normativa sulla privacy. con la presente.29 del decreto legislativo 30 giugno 2003 n.5 Italia License .2 Modulo 5. Il Direttore Generale Pinco Arcobaleni 251 Creative Commons Attribuzione .2.  sentito il Direttore Generale. predispone.  identifica. fiscale. documenta e rende note le misure di sicurezza (minime e più ampie) necessarie per la protezione dei dati personali relativi ai trattamenti di videosorveglianza.  nomina/revoca gli incaricati dei trattamenti di videosorveglianza dandone notizia al Direttore generale nella sua qualità di Responsabile dei trattamenti. possiede i requisiti di esperienza. Di conseguenza la nomina a “Responsabile dei trattamenti di videosorveglianza” viene fatta da Direttore Generale (diversamente la nomina andrebbe fatta dal Consiglio di Amministrazione). la facoltà di effettuare verifiche periodiche per vigilare sulla puntuale osservanza delle presenti istruzioni. 29 comma 5 del “Codice”.

Lezione 5 – Unità didattica 5.2 Nomina degli incaricati dei trattamenti di videosorveglianza Lettera di istruzioni per la ditta di Vigilanza Spettabile Nulla-ci-sfugge-vigilantes srl In relazione al contratto in essere (rif.  Il vostro personale deve limitarsi a monitorare le immagini sul monitor di controllo agendo. come previsto dal contratto in essere. Il Direttore Generale Pinco Arcobaleni 252 Creative Commons Attribuzione .5 Italia License . cancellare o effettuare altro trattamento dei dati personali relativi al sistema di videosorveglianza (immagini registrate). modificare.Non commerciale 2.  Va in ogni caso garantita la massima riservatezza su informazioni o dati di cui il vostro personale venisse a conoscenza. Con l’occasione si rammenta che il vostro personale che svolge attività di “vigilanza” presso Arcobaleni196 deve essere da voi preventivamente informato sui contenuti e gli adempimenti relativi al “Codice in materia di protezione dei dati personali”. cont. in caso di emergenza.  In nessun caso il vostro personale è autorizzato a visionare. ABC) con la presente si comunicano le istruzioni che il vostro personale deve seguire in relazione all’utilizzo del sistema di videosorveglianza di Arcobaleni196. copiare.

Con l’occasione si rammenta che il vostro personale incaricato per le attività di manutenzione del nostro sistema di videosorveglianza deve essere da voi preventivamente informato sui contenuti e gli adempimenti relativi al “Codice in materia di protezione dei dati personali”. copiare. Lezione 5 – Unità didattica 5. cancellare o effettuare altro trattamento dei dati personali relativi al sistema di videosorveglianza (immagini registrate).Non commerciale 2.2 Lettera di istruzioni per la ditta di manutenzione del sistema di videosorveglianza Spettabile Vedo-e-prevedo-tutto srl In relazione al contratto in essere (rif. modificare.5 Italia License . Xwz) con la presente si comunicano le istruzioni che il vostro personale deve seguire durante le attività di manutenzione del sistema di videosorveglianza di Arcobaleni196. cont.  Va in ogni caso garantita la massima riservatezza su informazioni o dati di cui il vostro personale venisse a conoscenza.  In nessun caso il vostro personale è autorizzato a visionare. Il Direttore Generale Pinco Arcobaleni 253 Creative Commons Attribuzione .  Il vostro intervento deve limitarsi alle azioni necessarie per garantire il buon funzionamento delle apparecchiature e del software del sistema di videosorveglianza come da specifiche riportate nel contratto.

196 “Codice in materia di trattamento dei dati personali”. Nella qualità di “incaricato dei trattamenti” le dovrà attenersi a quanto prescritto dal “Regolamento videorveglianza” e alle altre disposizioni aziendali in materia di protezione dei dati personali e di sicurezza delle informazioni. Ufficio “Sistemi e Reti” Ai sensi dell’art.5 Italia License . copiati parzialmente o in toto (tranne nei casi previsti dal regolamento).2 Lettera di incarico al trattamento dei dati personali in relazione ai trattamenti di videosorveglianza A: Francesco GialloRosso. In particolare lei dovrà operare con cura e diligenza perché i dati personali:  non siano mai danneggiati. modificati. dei dati.  non siano cancellati (tranne nei casi previsti dal regolamento). Il Direttore Generale Pinco Arcobaleni 254 Creative Commons Attribuzione . lei viene incaricato del trattamento dei dati personali per le attività da lei svolte presso l’Ufficio “Sistemi e Reti” per la manutenzione del sistema di videosorveglianza. alterati.  non siano diffusi. Lezione 5 – Unità didattica 5.30 del decreto legislativo 30 giugno 2003 n. con la presente.Non commerciale 2. dei beni di Arcobaleni196.

2 Informativa completa sulla videosorveglianza Informativa al sensi dell'art. le immagini e i dati personali in essi contenuti possono essere messi a disposizione esclusivamente dell’Autorità Giudiziaria (su specifica richiesta della stessa) per l’individuazione degli autori di eventuali fatti illeciti a danno della società e di altri soggetti. • via email: privacy@arcobaleni196. ai sensi del D.it 255 Creative Commons Attribuzione . Colleazzurro. informa che i dati personali. via Multicolori 123.5 Italia License . Lgs. Tali dati non vengono diffusi. 30 giugno 2003 n. formano oggetto di trattamento nel rispetto del “Codice in materia di protezione dei dati personali” e della vigente normativa interna. per sole e legittime finalità di sicurezza e prevenzione dei reati a tutela delle persone e del patrimonio aziendale. raccolti tramite impianti di videoregistrazione all’ingresso e nei locali della società e nelle zone segnalate da appositi cartelli o vetrofanie. Roma oppure per iscritto: • al “Responsabile del trattamento dati per la videosorveglianza”. I supporti. Colleazzurro.Non commerciale 2. signora Carmela Rossetti. Il personale di Arcobaleni196 ed i soggetti esterni addetti alla manutenzione delle apposite apparecchiature hanno accesso ai dati esclusivamente per le finalità sopra indicate e per la gestione tecnica degli impianti. 196/2003. Lezione 5 – Unità didattica 5. 13 del d.lgs. 196 Arcobaleni196 srl in qualità di “Titolare” del trattamento. Roma. Per ulteriori informazioni o per esercitare i diritti di cui all’articolo 7 del “Codice in materia di protezione dei dati personali” ci si può rivolgere presso la nostra sede in via Multicolori 123.

Non commerciale 2. Lezione 5 – Unità didattica 5.2.5 Italia License .5 – Check list sulla videosorveglianza Videosorveglianza senza registrazioni di immagini Misure organizzative Analisi preliminare obbligatorio Nomina incaricato obbligatorio Nomina responsabile interno opzionale Nomina responsabile esterno opzionale Informativa minima obbligatorio Regolamento aziendale opzionale Gestione diritto di accesso obbligatorio Formazione obbligatorio Casi illeciti Non devono esserci sistemi di videosorveglianza in prossimità di: bagni obbligatorio spogliatoi obbligligatorio spogliatoi obbligatorio sale sindacali obbligatorio Non devono esserci sistemi di videosorveglianza per obbligatorio finalità di controllo dei lavoratori Misure di sicurezza 256 Creative Commons Attribuzione .2 Modulo 5.

chiavi.2 Locali (ove sono presenti i monitor di controllo) con obbligatorio accesso controllato (badge.…) Attestato di conformità da fornitore esterno obbligatorio Videosorveglianza con registrazioni di immagini Misure organizzative Analisi preliminare obbligatorio Autorizzazione del Garante (solo se concomitanza a obbligatorio sistemi biometrici) Nomina incaricato obbligatorio Nomina responsabile interno opzionale Nomina responsabile esterno opzionale Informativa minima obbligatorio Informativa completa obbligatorio Regolamento aziendale opzionale Gestione diritto di accesso obbligatorio Formazione obbligatorio Casi illeciti Non devono esserci sistemi di videosorveglianza in prossimità di: bagni obbligatorio spogliatoi obbligatorio sale sindacali obbligatorio Non devono esserci sistemi di videosorveglianza per obbligatorio 257 Creative Commons Attribuzione . Lezione 5 – Unità didattica 5.Non commerciale 2.5 Italia License .

2 finalità di controllo dei lavoratori Cancellazione delle immagini Entro le 24 ore obbligatorio Entro una settimana Obbligatorio (previo giustificazione) Misure di sicurezza Locali (ove sono presenti i monitor di controllo) con obbligatorio accesso controllato (badge.5 Italia License . chiavi.Non commerciale 2. password) per obbligatorio visionare le registrazioni sistemi di cifratura delle registrazioni Attestato di conformità da fornitore esterno obbligatorio 258 Creative Commons Attribuzione .…) Armadi chiusi a chiave per la custodia dei supporti obbligatorio sistemi di controllo accessi (user-id. Lezione 5 – Unità didattica 5.

sistemi senza nessuna utilizzare entrambi i biometrica (ad autorizzazione sistemi. Falso. sistemi di Il Garante ha sempre Le banche possono Per “giustificati” videosorveglianza sia vietato di utilizzare usare entrambi i motivi è possibile sistemi di rilevazione entrambi i sistemi. Lezione 5 – Unità didattica 5. Vero. massimo una a quando il titolare lo massimo settimana.2 Domanda Prima risposta Seconda risposta Terza risposta Le immagini registrate Vero. trattamento. Il diritto d’accesso non Vero. Falso. si applica alle Le immagini Le immagini L’interessato può videoregistrazioni videoregistrate non videoregistrate. ritiene necessario. tuttavia va esempio: impronte preventiva mentre tutte richiesta. devono essere Le immagini possono Le immagini possono Le immagini possono cancellate dopo un essere conservate al essere conservate al essere conservate fino periodo di tempo massimo un mese. autorizzazione al Garante. 259 Creative Commons Attribuzione .5 Italia License . È vietato usare sia Vero.2 Domande di verifica 5.. alla esercitare il diritto di possono essere oggetto pari di qualsiasi altro accesso ma non di “diritto d’accesso”. Falso. sono richiedere che le soggette al “diritto proprie immagini d’accesso” da parte siano cancellate. Falso. per i sistemi digitali) le altre aziende devono di rilevazione prima chiedere biometrici.Non commerciale 2. una l’autorizzazione al preventiva Garante. Falso. dell’interessato.

Lezione 5– Risposte alle domande di verifica Risposte alle domande di verifica della lezione 5 Domande di verifica 5. registrano le immagini È opportuno. può visionare le Le immagini possono immagini registrate essere visionate da dalle telecamere tutti coloro che sono stati incaricati di tale trattamento. nomina del nominare un responsabile del diritto responsabile per i d’accesso trattamenti di video sorveglianza.1 e risposte corrette Domanda Prima risposta Seconda risposta Terza risposta Nessun adempimento Falso.Non commerciale 2.5 Italia License . Se le telecamere Falso. è richiesto se le Occorre in ogni caso telecamere non predisporre una registrano immagini informativa minima anche sotto forma di cartello. Solo la magistratura Falso. ma non è obbligatoria la obbligatorio. 260 Creative Commons Attribuzione .

È vietato usare sia Falso. Il diritto d’accesso non Falso. 261 Creative Commons Attribuzione . si applica alle Le immagini videoregistrazioni videoregistrate.Non commerciale 2.5 Italia License . una preventiva autorizzazione al Garante. tuttavia va esempio: impronte richiesta.2 e risposte corrette Domanda Prima risposta Seconda risposta Terza risposta Le immagini registrate Vero. sistemi di Per “giustificati” videosorveglianza sia motivi è possibile sistemi di rilevazione utilizzare entrambi i biometrica (ad sistemi. alla pari di qualsiasi altro trattamento. sono soggette al “diritto d’accesso” da parte dell’interessato. devono essere Le immagini possono cancellate dopo un essere conservate al periodo di tempo massimo una massimo settimana. per i digitali) sistemi di rilevazione biometrici. Lezione 5– Risposte alle domande di verifica Domande di verifica 5.

Marketing e comunicazioni commerciali.compliancenet. sarà pubblicata attraverso i siti ComplianceNet251.it 262 Creative Commons Attribuzione .doc • versione pdf: http://www. 6 novembre 2009 Nome di questo documento: • versione word: http://www.5 Italia License .arcobaleni196.it/ 253 http://www. Roma.it/documenti/6-lezioni-sulla-privacy-parti-1-2-3-4-5.pdf 251 http://www.cmaconsulting.it/ 252 http://www.Non commerciale 2.compliancenet.it/documenti/6-lezioni-sulla-privacy-parti-1-2-3-4-5.compliancenet. Fine documento Fine del documento L’ultima lezione. CMa Consulting252 ed Arcobaleni196253 nelle prossime settimane.