Il Codice della Privacy Sintesi normativa e cenni applicativi

1
Il Codice della PrivacySintesi normativa e cenni
applicativi

• a cura di Malfarà Sacchini Mario
• Ragioniere commercialista in Vibo Valentia

2
La normativa

• D.Lgs n. 196 del 30/06/2003 Codice in materia di
  protezione dei dati personali. (pubblicato in
  G.U. il 29/07/2003)
• Entrata in vigore 1 gennaio 2004.
• Dallentrata in vigore sono abrogate le
  disposizioni della L. 31/12/1996 n. 675 e quelle
  del D.P.R. 28/07/1999 n. 318.
• Le disposizioni abrogate sono indicate
  allarticolo 183 del Decreto Legislativo n. 196.

3
Significato della privacy
Le parole dordine della normativa sono
CUSTODIA DEI DATI PERSONALI E DEFINIZIONE DELLE
MISURE DI SICUREZZA CON LA PRESCRIZIONE DI UN
LIVELLO MINIMO DI SICUREZZA
CONTROLLO SUL PROCESSO DI ACQUISIZIONE, GESTIONE
ED ELIMINAZIONE DEI DATI PERSONALI
4
Significato della privacy
È un termine di origine inglese traducibile come
diritto alla riservatezza che rimanda alla
dignità dell'interessato, con particolare
riferimento alla riservatezza, all'identità
personale e al diritto alla protezione dei dati
personali
5
Significato della privacy
ASSIOMA DELLA NORMATIVA
Nellera dellinformatizzazione diffusa, il dato
assurge al rango di bene personale da proteggere,
indipendentemente dalle ragioni in forza delle
quali è acquisito, detenuto o trattato
6
Possibile equivocità del termine privacy
La traduzione letterale del termine privacy
potrebbe condurre a risultati errati circa la
portata dellobbligo di legge che vuole tutelare
non solo i dati sensibili, bensì tutti i dati
personali
7
Cosa disciplina

1. Disposizioni generali (articoli da 1 a
   45)fissano regole sostanziali della disciplina
   del trattamento dei dati personali, applicabili a
   tutti i tipi di trattamentofissano regole
   specifiche che si devono osservare per i
   trattamenti effettuati.
2. Disposizioni relative a specifici settori
   (articoli da 46 a 140) disciplina il trattamento
   dei dati in particolari ambiti (ambito
   giudiziario, forze di polizia, difesa e sicurezza
   dello stato, ambito pubblico, ambito sanitario,
   istruzione e trattamento per scopi
   storici,statistici e scientifici).
3. Disposizioni relative alle azioni di tutela
   dellinteressato e al sistema sanzionatorio
   (articoli da 141 a 186).

8
Chi lo deve applicare

• Tutti i soggetti pubblici e privati che
  conservino o trattino
• dati personali qualsiasi informazione che sia
  relativa a persone fisiche, giuridiche, enti od
  associazioni, identificati o identificabili anche
  indirettamente mediante il riferimento a
  qualsiasi altra informazione, compreso un numero
  di identificazione personale.
• dati sensibili e/o giudiziari i dati personali
  idonei a rivelare lorigine razziale ed etnica,
  le convinzioni religiose, filosofiche o di altro
  genere, le opinioni politiche, ladesione a
  partiti politici, sindacati, associazioni od
  organizzazioni a carattere religioso, filosofico,
  politico o sindacale, nonché i dati personali
  idonei a rivelare lo stato di salute e le
  abitudini sessuali. I dati personali idonei a
  rivelare provvedimenti iscrivibili nel casellario
  giudiziale, o allanagrafe delle sanzioni
  amministrative dipendenti da reato e dei relativi
  carichi pendenti, o la qualità di soggetto
  imputato o indagato ai sensi degli articoli 60 e
  61 del c.p.p.

9
Principi generali

• - Diritto alla protezione dei dati personali
  (art. 1)
• - Finalità
• Rispetto dei diritti e delle libertà
  fondamentali, nonché
• della dignità dellinteressato, con riguardo alla
  riservatezza
• e alla garanzia di del diritto alla protezione
  dei dati personali
• - Principio di necessità nel trattamento dei dati
  (art. 3)
• - Diritto di accesso ai dati personali ed altri
  diritti (Titolo II articoli da 7 a 10)
• Obblighi del titolare del trattamento (riscontro
  allinteressato)
• - Obbligo dinformativa (art. 13)
• - Obblighi connessi alla cessazione del
  trattamento (art. 16)

10
Definizioni

• Lart. 4 del Codice fornisce le definizioni dei
  seguenti termini
• Trattamento
• Dato personale
• Dati identificativi
• Dati sensibili
• Dati giudiziari
• Titolare
• Responsabile
• Incaricati
• Interessato
• Comunicazione
• Diffusione
• Dato anonimo
• Blocco
• Banca di dati
• Garante
• segue

11
Adempimenti riguardanti tutti i tipi di
trattamenti

• Informazione del soggetto interessato
• Dati di natura comune
• Dati sensibili o giudiziari
• Acquisizione del consenso del soggetto
  interessato
• Dati di natura comune
• Dati di natura sensibile

12
Casi di esclusione dallobbligo di acquisizione
del consenso

• Lobbligo di acquisizione del consenso viene meno
  quando
• Il trattamento dati è necessario per adempiere ad
  un obbligo previsto dalla legge, da un
  regolamento o dalla normativa comunitaria
• Il trattamento è necessario per lesecuzione di
  un contratto del quale è parte linteressato o
  per adempiere a specifiche richieste
  dellinteressato riguardanti il contratto in
  essere.
• Il trattamento riguarda dati provenienti da
  pubblici registri, elenchi , atti o documenti
  conoscibili da chiunque, fermi restando i limiti
  e le modalità che le leggi e la normativa
  comunitaria stabiliscono per la conoscibilità dei
  dati.
• Il trattamento riguarda dati relativi allo
  svolgimento di attività economiche, trattatati
  nel rispetto della vigente normativa in materia
  di segreto aziendale o industriale.

13
Trattamento di dati sensibili e giudiziari

• I dati sensibili o giudiziari possono essere
  trattati solo con il consenso dellinteressato e
  previa autorizzazione dellautorità garante.
• Tale obbligo viene meno per i dati sensibili
  quando
• Sono trattati per adempiere a specifici obblighi
  o compiti previsti dalla legge, da un regolamento
  o dalla normativa comunitaria, per la gestione
  dei rapporti di lavoro anche in materia di igiene
  e sicurezza
• Lesonero è previsto da specifiche autorizzazioni
  generali (vedi art. 40)

14
Linformativa

• Linformativa deve essere resa allinteressato
  prima di poter procedere al trattamento dei dati
  personali (siano essi solo personali o di natura
  sensibile o giudiziaria).
• Linformativa può essere resa anche in forma
  orale (art. 13)
• Essa deve informare linteressato circa
• Le finalità e le modalità del trattamento cui
  sono destinati i dati
• La natura obbligatoria o facoltativa del
  conferimento dei dati
• Le conseguenze di un eventuale rifiuto di
  rispondere
• I soggetti o le categorie di soggetti ai quali i
  dati personali possono essere comunicati o che
  possono venirne a conoscenza, in qualità di
  responsabili o incaricati, lambito di diffusione
  dei medesimi.
• L indicazione dei diritti dellinteressato
  richiamati allarticolo 7
• Gli estremi identificativi del titolare, e dove
  designato, del responsabile, del rappresentante
  nel territorio dello stato
• Per i trattamenti iniziati prima dellentrata in
  vigore del Codice si deve procedere ad
  integrazione dellinformativa rilasciata in
  precedenza, integrata con i/il nominativi/i
  dei/del responsabile.

15
Adozione di misure minime di sicurezza per il
trattamento dei dati.

• Il soppresso D.P.R. 318/1999 ha trovato
  accoglimento e ampliamento normativo allinterno
  delle disposizioni generali del codice.
• Il titolo V della parte I del codice è
  integralmente dedicato alla sicurezza dei dati e
  dei sistemi con cui si procede al trattamento.

16
Le misure di sicurezza

• Il Codice impone la sicurezza dei sistemi di
  trattamento dati personali in base alle
  conoscenze acquisite e progresso tecnico, in modo
  da ridurre al minimo i rischi di distruzione o
  perdita anche accidentale, dei dati stessi, e
  prevenire laccesso non autorizzato o il
  trattamento non consentito o non conforme alle
  finalità della raccolta.
• Larticolo 31 definisce quindi il principio
  generale di sicurezza applicabile sia ai dati
  personali che ai dati sensibili e giudiziari.

17
Misure minime per trattamenti con strumenti
elettronici.

• Larticolo 34 impone le seguenti misure minime
  per il trattamento di dati personali effettuato
  con strumenti elettronici
• Autenticazione informatica
• Adozione di procedura di gestione delle
  credenziali di autenticazione
• Utilizzazione di un sistema di autorizzazione
• Aggiornamento periodico dellindividuazione
  dellambito del trattamento consentito ai singoli
  incaricati e addetti alla gestione o manutenzione
  dei sistemi elettronici
• Protezione degli strumenti elettronici e dei dati
  rispetto a trattamenti illeciti di dati, ad
  accessi non consentiti e a determinati programmi
  informatici.
• Adozione di procedure per la custodia di copie di
  sicurezza, il ripristino della disponibilità dei
  dati e dei sistemi.
• Tenuta di un aggiornato documento programmatico
  sulla sicurezza
• Adozione di tecniche di cifratura o di codici
  identificativi per determinati trattamenti di
  dati idonei a rivelare lo stato di salute o la
  vita sessuale effettuati da organismi sanitari
• Ladozione delle misure minime di sicurezza deve
  essere posta in essere entro il 31/12/2005

18
Misure minime per il trattamento senza ausilio di
strumenti elettronici

• Lart. 35 dispone invece sulle misure minime da
  adottarsi per il trattamento di dati personali
  senza ausilio di strumenti elettronici.
• La prima misura prevede laggiornamento periodico
  dellindividuazione dellambito del trattamento
  consentito ai singoli incaricati o alle unità
  organizzative
• La seconda misura consiste nella previsione di
  procedure per unidonea custodia di atti e
  documenti affidati agli incaricati per lo
  svolgimento dei relativi compiti.
• La terza misura consiste nella previsione di
  procedure di conservazione di determinati atti in
  archivi ad accesso selezionato e disciplina delle
  modalità di accesso, finalizzata
  allidentificazione degli incaricati.
• Ladozione delle misure minime di sicurezza deve
  essere posta in essere entro il 31/12/2005

19
Il disciplinare tecnico delle misure minime di
sicurezza

• Lallegato B al Decreto legislativo, individua le
  misure tecniche relative alle misure minime di
  sicurezza che i titolari devono adottare.
• Lallegato B contrariamente alla definizione
  prevista dallarticolo 34 prevede lobbligo di
  redazione del DPS è necessario per coloro che
  trattano dati sensibili e/o giudiziari con
  lausilio di strumenti elettronici.
• Il DPS deve essere redatto e aggiornato entro il
  31 marzo di ogni anno..
• Nella relazione al bilancio desercizio (o nella
  Nota Integrativa) gli amministratori devono
  riferire in merito alla redazione e/o
  allaggiornamento del documento.

20
Le sanzioni violazioni amministrative

• Omessa o inidonea informativa allinteressato
  (art. 161)
• Dati personali 3.000/18.000
• Dati sensibili 5.000/30.000
• Cessione di dati in ad altro titolare in
  violazione dellart. 16 lett.b) (art. 162)
• Sanzione 5.000/30.000
• Omessa o incompleta notificazione (art. 163)
• Sanzione 10.000/60.000
• Sanzione accessoria spese di pubblicazione
  ordinanza- ingiunzione in uno o più giornali.

21
Altre sanzioni amministrative disciplinate

• Omessa informazione o esibizione di documenti al
  garante (art. 164)
• Sanzione 4.000/24.000
• Violazioni concernenti le comunicazioni dei dati
  personali sullo stato di salute (art. 162, c.2)
• Sanzione 500/3.000

22
Le sanzioni illeciti penali

• Delitti
• Trattamento illecito di dati (art. 167)
• VI rientra il trattamento dei dati senza consenso
  ove necessario
• Reclusione 6/18 mesi a 6/24 ove si procede ad
  illecita comunicazione o diffusione a terzi dei
  dati
• Falsità nelle dichiarazioni e notificazioni al
  Garante (art. 168)
• Reclusione 6/36 mesi
• Inosservanza dei provvedimenti del Garante (art.
  170)
• Reclusione 3/24 mesi

23
Sanzioni illeciti penali

• Contravvenzioni
• Mancata adozione misure minime di sicurezza (art.
  169)
• Arresto sino a 2 anni o
• Ammenda da 10.000/50.000
• Divieto dindagine sulle opinioni dei lavoratori
  e Violazioni delle norme di controllo a distanza
  dei lavoratori
• Arresto da 15 giorni ad un anno
• Ammenda da 154,94/1.549,37

24
Il risarcimento dei danni

• Il Codice disciplina due tipologie di
  risarcimento
• Danno patrimoniale
• Chiunque cagiona ad altri danni per effetto del
  trattamento di dati personali (art. 15, c.1)
• Applicabilità dellart. 2050 del C.C. il
  titolare deve quindi provare in caso di danni
  patrimoniali causati allinteressato di aver
  adottato tutte le misure idonee ad evitarlo.
• Danno non patrimoniale (art. 15, c.2)
• Può essere invocato il risarcimento del danno
  biologico di natura psichica, ove il titolare non
  provveda al trattamento in forma lecita dei dati,
  non provveda ad aggiornarli, li detenga oltre il
  termine superiore agli scopi per i quali sono
  raccolti.

25
Dichiarazioni di conformità delle misure minime
adottate.

• Il titolare che adotta misure minime di sicurezza
  avvalendosi di soggetti esterni alla propria
  struttura, per provvedere allesecuzione, riceve
  dallinstallare alluopo incaricato una
  descrizione scritta dellintervento effettuato
  che ne attesta la conformità alle disposizioni
  del disciplinare tecnico allegato B al D.Lgs. n.
  196 (punto 25 allegato b).