1 / 50

Privacy: rischi e novità Le nuove norme

Privacy: rischi e novità Le nuove norme. ecc. ecc. ecc…. Il diritto alla protezione dei dati personali. Art. 1 ( Diritto alla protezione dei dati personali “Chiunque ha diritto alla protezione dei dati personali che lo riguardano” (cfr. art. 8 Carta diritti fondamentali UE)

wilkinson
Download Presentation

Privacy: rischi e novità Le nuove norme

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Privacy: rischi e novità Le nuove norme ecc. ecc. ecc…

  2. Il diritto alla protezione dei dati personali Art. 1 (Diritto alla protezione dei dati personali “Chiunque ha diritto alla protezione dei dati personali che lo riguardano” (cfr. art. 8 Carta diritti fondamentali UE) Nuova Costituzione Europea Le 2 anime della “Privacy”

  3. PRIVACY diritto alla autodeterminazione informativa; “Right to be let alone”; controllo sulla circolazione dei miei dati; “I dati sono miei e li gestisco io”; fatti gli affari tuoi…… Notificazione Informativa Consenso ……. SICUREZZA Sicurezza dei dati e dei sistemi; Misure finalizzate Alla conservazione dei dati personali; backup; il dato come un bene prezioso e “pericoloso” da proteggere DPS Misure minime sicurezza Amministratori di sistema …….

  4. Principi e regole sulla sicurezza dei trattamenti dei dati personali Nel quadro dei più generali obblighi di sicurezza di cui all’articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell’articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali. 

  5. DOWNGRADE La semplificazione delle norme privacy

  6. Provvedimento Garante 19 giugno 2008 Semplificazioni: in quali casi si applicano? trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili gestione di informazioni attinenti ad altre imprese, amministrazioni, clienti, fornitori e dipendenti utilizzate, anche in relazione a obblighi contrattuali e normativi, per correnti finalità amministrative e contabili

  7. La semplificazione dell’ Informativa – Provv. 19 giugno 2008 • fornire un'unica informativa per il complesso dei trattamenti, anziché per singoli aspetti del rapporto con gli interessati; • b) fornire a questi ultimi una ricostruzione organica dei trattamenti e con linguaggio semplice, senza frammentarla o reiterarla inutilmente; • c) indicare le informazioni essenziali in un quadro adeguato di lealtà e correttezza; • d) redigere, per quanto possibile, una prima informativa breve. All'interessato, anche oralmente, andrebbero indicate sinteticamente alcune prime notizie chiarendo subito, con immediatezza, le principali caratteristiche del trattamento.

  8. La semplificazione dell’ Informativa – Provv. 19 giugno 2008 e) per l'informativa, specie per quella breve, si possono utilizzare gli spazi utili nel materiale cartaceo e nella corrispondenza che si impiegano già, ordinariamente, per finalità amministrative e contabili; f) l'informativa breve può rinviare a un testo più articolato, disponibile agevolmente senza oneri per gli interessati, in luoghi e con modalità facilmente accessibili anche con strumenti informatici e telematici (in particolare, tramite reti Intranet o siti Internet, affissioni in bacheche o locali, avvisi e cartelli agli sportelli per la clientela, messaggi preregistrati disponibili digitando un numero telefonico gratuito). Le notizie da indicare per legge (art. 13, comma 1) devono essere aggiornate, specificando la data dell'ultimo aggiornamento;

  9. La semplificazione dell’ Informativa – Provv. 19 giugno 2008 g) è possibile non inserire nell'informativa più articolata gli elementi noti all'interessato (art. 13, commi 2 e 4). E' opportuno omettere riferimenti meramente burocratici o circostanze ovvie, per esempio quando alcune informazioni, compresi gli estremi identificativi del titolare, risultano da altre parti del documento in cui è presente l'informativa; i) è invece necessario fornire un'informativa specifica o ad hoc quando il trattamento ha caratteristiche del tutto particolari perché coinvolge, ad esempio, peculiari informazioni (es. dati genetici) o prevede forme inusuali di utilizzazione di dati, specie sensibili, rispetto alle ordinarie esigenze amministrative e contabili, o può comportare rischi specifici per gli interessati (ad esempio, rispetto a determinate forme di uso di dati biometrici o di controllo delle attività dei lavoratori).

  10. La semplificazione del consenso- Ordinarie finalità Provv. 19 giugno 2008 Il Garante invita tutti i titolari del trattamento pubblici e privatia non chiedere il consenso degli interessati quando il trattamento dei dati è svolto, anche in relazione all'adempimento di obblighi contrattuali, precontrattuali o normativi, esclusivamente per correnti finalità amministrative e contabili, nonché quando i dati provengono da pubblici registri ed elenchi pubblici conoscibili da chiunque, o sono relativi allo svolgimento di attività economiche o sono trattati da un soggetto pubblico

  11. La semplificazione del consenso- Marketing vs. cliente Provv. 19 giugno 2008 i titolari del trattamento in ambito privato che hanno venduto un prodotto o prestato un servizio, nel quadro del perseguimento di ordinarie finalità amministrative e contabili, possono utilizzare senza il consenso i recapiti (oltre che di posta elettronica come già previsto per legge) di posta cartacea forniti dall'interessato, ai fini dell'invio diretto di proprio materiale pubblicitario o di propria vendita diretta o per il compimento di proprie ricerche di mercato o di comunicazione commerciale. Ciòa condizione che: a) tale attività promozionale riguardi beni e servizi del medesimo titolare e analoghi a quelli oggetto della vendita; b) l'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione effettuata per le menzionate finalità, sia informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente, anche mediante l'utilizzo della posta elettronica o del fax o del telefono e di ottenere un immediato riscontro che confermi l'interruzione di tale trattamento (art. 7, comma 4); c) l'interessato medesimo, così adeguatamente informato già prima dell'instaurazione del rapporto, non si opponga a tale uso, inizialmente o in occasione di successive comunicazioni >>> ESTENSIONE DELL’AMBITO DI APPLICAZIONE DELL’ART. 130 c. 4 ALLE COMUNICAZIONI PER POSTA TRADIZIONALE

  12. La semplificazione degli incarichi – Provv. 19 giugno 2008 • Gli incaricati • Operano sotto la diretta autorità del titolare o del responsabile • Sono persone fisiche da designare per iscritto • Devono attenersi alle istruzioni del titolare o del responsabile • La loro nomina è “obbligatoria” Il Garante richiama l'attenzione dei titolari del trattamento sulla circostanza che la designazione degli incaricati del trattamento può avvenire in modo semplificato evitando singoli atti circostanziati relativi distintamente a ciascun incaricato, individuando i trattamenti di dati e le relative modalità che sono consentiti all'unità cui sono addetti gli incaricati stessi (art. 30)

  13. 1. All'articolo 34 del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, dopo il comma 1 e' aggiunto il seguente: La semplificazione del DPS e delle misure minime- L. 133/2008 e Provv. 27 novembre 2008 • « 1-bis. Per i soggetti che trattano soltantodati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattiadei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza e' sostituitadall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentito il Ministro per la semplificazione normativa, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico di cui all'Allegato B) in ordine all'adozione delle misure minime di cui al comma 1».

  14. La semplificazione del DPS e delle misure minime- L. 133/2008 e Provv. 27 novembre 2008 • Bisogna distinguere tra due aspetti differenti: • La non obbligatorietà della redazione del DPS e la sostituzione della stessa con un documento di autocertificazione. • L’applicazione di misure minime semplificate relativamente al trattamento di determinati dati.

  15. I due punti chiave… • La non obbligatorietà della redazione del DPS e la sostituzione della stessa con un documento di autocertificazione si applica ai Titolari • “…che trattano come unicidati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale…”.

  16. I due punti chiave… • L’applicazione di misure minime semplificate si applica non solamente ai soggetti di cui al punto precedente, ma a qualunque tipo di soggetto limitatamente però ai trattamenti di cui sopra (stato di salute o malattia senza indicazione della diagnosi, iscrizione a sindacati) nonché ai trattamenti • “…effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani…” • Per il dettaglio delle misure minime semplificate >>> Provv. 27 novembre 2008 in GU n. 287 del 9 dicembre 2008

  17. La semplificazione della notificazione al Garante – L. 133/2008 PRIMA DOPO La notificazione e' validamente effettuata solo se e' trasmessa attraverso il sito del Garante, utilizzando l'apposito modello, che contiene la richiesta di fornire tutte e soltanto le seguenti informazioni:  a) le coordinate identificative del titolare del trattamento e, eventualmente, del suo rappresentante, nonche’ le modalita' per individuare il responsabile del trattamento se designato;  b) la o le finalita' del trattamento;  c) una descrizione della o delle categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime;  d) i destinatari o le categorie di destinatari a cui i dati possono essere comunicati;  e) i trasferimenti di dati previsti verso Paesi terzi;  f) una descrizione generale che permetta di valutare in via preliminare l'adeguatezza delle misure adottate per garantire la sicurezza del trattamento La notificazione è validamente effettuata solo se è trasmessa per via telematica utilizzando il modello predisposto dal Garante e osservando le prescrizioni da questi impartite, anche per quanto riguarda le modalità di sottoscrizione con firma digitale e di conferma del ricevimento della notificazione Con Del. 22 ottobre 2008 (Gazz. Uff. 9 dicembre 2008, n. 287) sono state introdotte alcune semplificazioni al modello di notificazione

  18. UPGRADE Nuovi provvedimenti Nuove sanzioni Nuovi rischi

  19. La “rottamazione” degli hard disk– Comunicato del 5 dicembre 2008

  20. La “rottamazione” degli hard disk– Provv. del 13 ottobre 2008 VISTI gli atti d’ufficio relativi alla problematica del rinvenimento di dati personali all’interno di apparecchiature elettriche ed elettroniche cedute a un rivenditore per la dismissione o la vendita o a seguito di riparazioni e sostituzioni; viste, altresì, le recenti notizie di stampa in ordine al rinvenimento da parte dell’acquirente di un disco rigido usato, commercializzato attraverso un sito Internet, di dati bancari relativi a oltre un milione di individui contenuti nel disco medesimo (…) RILEVATA la necessità di richiamare l’attenzione su tali rischi di persone giuridiche, pubbliche amministrazioni, altri enti e persone fisiche che, avendone fatto uso nello svolgimento delle proprie attività, in particolare quelle industriali, commerciali, professionali o istituzionali (di seguito sinteticamente individuati con la locuzione “titolari del trattamento”: art. 4, comma 1, lett. f) del Codice), dismettono sistemi informatici o, più in generale, apparecchiature elettriche ed elettroniche contenenti dati personali (come pure dei soggetti che, su base individuale o collettiva, provvedono al reimpiego, al riciclaggio o allo smaltimento dei rifiuti di dette apparecchiature);

  21. La “rottamazione” degli hard disk– Provv. del 13 ottobre 2008 RILEVATO che ogni titolare del trattamento deve quindi adottare appropriate misure organizzative e tecniche volte a garantire la sicurezza dei dati personali trattati e la loro protezione anche nei confronti di accessi non autorizzati che possono verificarsi in occasione della dismissione dei menzionati apparati elettrici ed elettronici (artt. 31 ss. del Codice); ciò, considerato anche che, impregiudicati eventuali accordi che prevedano diversamente, produttori, distributori e centri di assistenza di apparecchiature elettriche ed elettroniche non risultano essere soggetti, in base alla particolare disciplina di settore, a specifici obblighi di distruzione dei dati personali eventualmente memorizzati nelle apparecchiature elettriche ed elettroniche a essi consegnate (…) RILEVATO che le misure da adottare in occasione della dismissione di componenti elettrici ed elettronici suscettibili di memorizzare dati personali devono consistere nell’effettiva cancellazione o trasformazione in forma non intelligibile dei dati personali negli stessi contenute, sì da impedire a soggetti non autorizzati che abbiano a vario titolo la disponibilità materiale dei supporti di venirne a conoscenza non avendone diritto (si pensi, ad esempio, ai dati personali memorizzati sul disco rigido dei personal computer o nelle cartelle di posta elettronica, oppure custoditi nelle rubriche dei terminali di comunicazione elettronica)

  22. La “rottamazione” degli hard disk– Provv. del 13 ottobre 2008 CONSIDERATO che tali misure risultano allo stato già previste quali misure minime di sicurezza per i trattamenti di dati sensibili o giudiziari, sulla base delle regole 21 e 22 del disciplinare tecnico in materia di misure minime di sicurezza che disciplinano la custodia e l’uso dei supporti rimovibili sui quali sono memorizzati i dati, che vincolano il riutilizzo dei supporti alla cancellazione effettiva dei dati o alla loro trasformazione in forma non intelligibile; RITENUTO che i titolari del trattamento, in occasione della dismissione delle menzionate apparecchiature elettriche ed elettroniche, qualora siano sprovvisti delle necessarie competenze e strumentazioni tecniche per la cancellazione dei dati personali, possono ricorrere all’ausilio o conferendo incarico a soggetti tecnicamente qualificati in grado di porre in essere le misure idonee a cancellare effettivamente o rendere non intelligibili i dati, quali centri di assistenza, produttori e distributori di apparecchiature che attestino l’esecuzione di tali operazioni o si impegnino ad effettuarle; RITENUTO che chi procede al reimpiego o al riciclaggio di rifiuti di apparecchiature elettriche ed elettroniche o di loro componenti debba comunque assicurarsi dell’inesistenza o della non intelligibilità di dati personali sui supporti, acquisendo, ove possibile, l’autorizzazione a cancellarli o a renderli non intelligibili;

  23. La “rottamazione” degli hard disk– Provv. del 13 ottobre 2008 • TUTTO CIÒ PREMESSO IL GARANTE • 1. ai sensi dell’art. 154, comma 1, lett. h) del Codice, richiama l’attenzione di persone giuridiche, pubbliche amministrazioni, altri enti e persone fisiche che, avendone fatto uso nello svolgimento delle proprie attività, in particolare quelle industriali, commerciali, professionali o istituzionali, non distruggono, ma dismettono supporti che contengono dati personali, sulla necessità di adottare idonei accorgimenti e misure, anche con l’ausilio di terzi tecnicamente qualificati, volti a prevenire accessi non consentiti ai dati personali memorizzati nelle apparecchiature elettriche ed elettroniche destinate a essere: • reimpiegate o riciclate, anche seguendo le procedure di cui all’allegato A); • b. smaltite, anche seguendo le procedure di cui all’allegato B). • Tali misure e accorgimenti possono essere attuate anche con l’ausilio o conferendo incarico a terzi tecnicamente qualificati, quali centri di assistenza, produttori e distributori di apparecchiature che attestino l’esecuzione delle operazioni effettuate o che si impegnino ad effettuarle. • Chi procede al reimpiego o al riciclaggio di rifiuti di apparecchiature elettriche ed elettroniche o di loro componenti è comunque tenuto ad assicurarsi dell’inesistenza o della non intelligibilità di dati personali sui supporti, acquisendo, ove possibile, l’autorizzazione a cancellarli o a renderli non intelligibili;

  24. Le novità sugli Amministratori di Sistema Provv. 27 novembre 2008 Gli "amministratori di sistema" sono figure essenziali per la sicurezza delle banche dati e la corretta gestione delle reti telematiche. Sono esperti chiamati a svolgere delicate funzioni che comportano la concreta capacità di accedere a tutti i dati che transitano sulle reti aziendali ed istituzionali. Ad essi viene affidato spesso anche il compito di vigilare sul corretto utilizzo dei sistemi informatici di un'azienda o di una pubblica amministrazione. Le ispezioni effettuate in questi anni dall'Autorità hanno permesso di mettere in luce in diversi casi una scarsa consapevolezza da parte di organizzazioni grandi e piccole del ruolo svolto dagli amministratori di sistema. I gravi casi verificatisi negli ultimi anni hanno evidenziato una preoccupante sottovalutazione dei rischi che possono derivare quando l'attività di questi esperti sia svolta senza il necessario controllo.

  25. Le novità sugli Amministratori di Sistema Provv. 27 novembre 2008 CONSTATATO che lo svolgimento delle mansioni di un amministratore di sistema, anche a seguito di una sua formale designazione quale responsabile o incaricato del trattamento, comporta di regola la concreta capacità, per atto intenzionale, ma anche per caso fortuito, di accedere in modo privilegiato a risorse del sistema informativo e a dati personali cui non si è legittimati ad accedere rispetto ai profili di autorizzazione attribuiti; CONSTATATO che l'individuazione dei soggetti idonei a svolgere le mansioni di amministratore di sistema riveste una notevole importanza, costituendo una delle scelte fondamentali che, unitamente a quelle relative alle tecnologie, contribuiscono a incrementare la complessiva sicurezza dei trattamenti svolti, e va perciò curata in modo particolare evitando incauti affidamenti;

  26. Le novità sugli Amministratori di Sistema Provv. 27 novembre 2008 definizione di "amministratore di sistema" figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi. Attività tecniche quali il salvataggio dei dati (backup/recovery), l'organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione e la manutenzione hardware comportano infatti, in molti casi, un'effettiva capacità di azione su informazioni che va considerata a tutti gli effetti alla stregua di un trattamento di dati personali; ciò, anche quando l'amministratore non consulti "in chiaro" le informazioni medesime.

  27. Le novità sugli Amministratori di Sistema Provv. 27 novembre 2008 Il Codice non ha incluso questa figura tra le proprie definizioni normative. Tuttavia le funzioni tipiche dell'amministrazione di un sistema sono richiamate nel menzionato Allegato B, nella parte in cui prevede l'obbligo per i titolari di assicurare la custodia delle componenti riservate delle credenziali di autenticazione. Gran parte dei compiti previsti nel medesimo Allegato B spettano tipicamente all'amministratore di sistema: dalla realizzazione di copie di sicurezza (operazioni di backup e recovery dei dati) alla custodia delle credenziali alla gestione dei sistemi di autenticazione e di autorizzazione. Nel loro complesso, le norme predette mettono in rilievo la particolare capacità di azione propria degli amministratori di sistema e la natura fiduciaria delle relative mansioni, analoga a quella che, in un contesto del tutto differente, caratterizza determinati incarichi di custodia e altre attività per il cui svolgimento è previsto il possesso di particolari requisiti tecnico-organizzativi, di onorabilità, professionali, morali o di condotta, a oggi non contemplati per lo svolgimento di uno dei ruoli più delicati della "Società dell'informazione"

  28. Le novità sugli Amministratori di Sistema Provv. 27 novembre 2008 Segnalazione ai titolari di trattamenti relativa alle funzioni di amministratore di sistema > si applica a tutti! Ai sensi del menzionato art. 154, comma 1, lett. h) il Garante, nel segnalare a tutti i titolari di trattamenti di dati personali soggetti all'ambito applicativo del Codice ed effettuati con strumenti elettronici la particolare criticità del ruolo degli amministratori di sistema, richiama l'attenzione dei medesimi titolari sulla necessità di adottare idonee cautele volte a prevenire e ad accertare eventuali accessi non consentiti ai dati personali, in specie quelli realizzati con abuso della qualità di amministratore di sistema; richiama inoltre l'attenzione sull'esigenza di valutare con particolare cura l'attribuzione di funzioni tecniche propriamente corrispondenti o assimilabili a quelle di amministratore di sistema, laddove queste siano esercitate in un contesto che renda ad essi tecnicamente possibile l'accesso, anche fortuito, a dati personali. Ciò, tenendo in considerazione l'opportunità o meno di tale attribuzione e le concrete modalità sulla base delle quali si svolge l'incarico, unitamente alle qualità tecniche, professionali e di condotta del soggetto individuato

  29. Le novità sugli Amministratori di Sistema Provv. 27 novembre 2008

  30. Le novità sugli Amministratori di Sistema Provv. 27 novembre 2008 MISURE E ACCORGIMENTI PRESCRITTI AI TITOLARI DEI TRATTAMENTI EFFETTUATI CON STRUMENTI ELETTRONICI ai sensi dell'art. 154, comma 1, lett. c) del Codice esclusi, allo stato, quelli effettuati in ambito pubblico e privato a fini amministrativo-contabili che, ponendo minori rischi per gli interessati, sono stati oggetto delle recenti misure di semplificazione 1-Valutazione delle caratteristiche soggettive L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell'esperienza, della capacità e dell'affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza. 2-Designazioni individuali La designazione quale amministratore di sistema deve essere in ogni caso individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

  31. Le novità sugli Amministratori di Sistema Provv. 27 novembre 2008 MISURE E ACCORGIMENTI PRESCRITTI AI TITOLARI DEI TRATTAMENTI EFFETTUATI CON STRUMENTI ELETTRONICI ai sensi dell'art. 154, comma 1, lett. c)del Codice esclusi, allo stato, quelli effettuati in ambito pubblico e privato a fini amministrativo-contabili che, ponendo minori rischi per gli interessati, sono stati oggetto delle recenti misure di semplificazione gestione di informazioni attinenti ad altre imprese, amministrazioni, clienti, fornitori e dipendenti utilizzate, anche in relazione a obblighi contrattuali e normativi, per correnti finalità amministrative e contabili NB: UNICA ESCLUSIONE i titolari di alcuni trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili, i quali pongono minori rischi per gli interessati e sono stati pertanto oggetto di recenti misure di semplificazione (art. 29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133; art. 34 del Codice; Provv. Garante 6 novembre 2008), debbano essere allo stato esclusi dall'ambito applicativo del presente provvedimento.

  32. Le novità sugli Amministratori di Sistema Provv. 27 novembre 2008 3- Redazione, conservazione ed aggiornamento di un “elenco degli amministratori di sistema” (anche per i casi di outsourcing) Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza. Nel caso di servizi di amministrazione di sistema affidati in outsourcing il Titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema. 4- Informazione ai lavoratori Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori, il Titolare deve rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni, in relazione ai diversi servizi informatici cui questi sono preposti.

  33. Le novità sugli Amministratori di Sistema Provv. 27 novembre 2008 5- Verifica delle attività L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte del Titolare, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti. 6- Registrazione degli accessi Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste.  Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generatee devono essere conservate per un congruo periodo, non inferiore a sei mesi.

  34. LE NUOVE SANZIONI

  35. Il quadro delle sanzioni • Omessa o inidonea informativa • Cessione dei dati con finalità non omogenee Inosservanza delle modalità di comunicazione al paziente del proprio stato di salute • Omissione delle misure minime • Trattamento illecito di dati • Inosservanza di prescrizione di misure o di divieti del Garante • Violazione dei termini di conservazione dei dati di traffico • Omessa, incompleta o intempestiva notificazione • Omessa informazione e esibizione di documenti

  36. Linee di fondo IN ESTREMA SINTESI Maggiori poteri al Garante 1 Aumento sanzioni pecuniarie preesistenti 2 Riduzione dei min. e max. per violazioni di minore gravità 3 Introduzione nuove sanzioni pecuniarie 4 Maggiore “scalabilità” (!) delle sanzioni 5 Valorizzazione ruolo “normativo” del Garante

  37. 1 Aumento sanzioni pecuniarie preesistenti Omessa o inidonea informativa (art. 161)

  38. 1 Aumento sanzioni pecuniarie preesistenti Cessione dei dati con finalità non omogenee (art. 162, c. 1) Inosservanza delle modalità di comunicazione al paziente del proprio stato di salute (art. 162, c. 2)

  39. 1 Aumento sanzioni pecuniarie preesistenti Omessa o incompleta notificazione (art. 163) Omessa informazione o esibizione al Garante (art. 164)

  40. 2 Riduzione dei min. e max. per violazioni di minore gravità Se taluna delle violazioni di cui agli articoli 161, 162, 163 e 164 è di minore gravità, avuto altresì riguardo alla natura anche economica o sociale dell'attività svolta, i limiti minimi e massimi stabiliti dai medesimi articoli sono applicati in misura pari a due quinti. Esempio per l’omessa informativa

  41. 3 Introduzione nuove sanzioni pecuniarie Omissione misure minime di sicurezza ex art. 33 sanzione del pagamento di una somma da ventimila euro a centoventimila euro, con esclusione del pagamento in misura ridotta >>> correlativamente, scompare dal reato ex art. 169 “l'ammenda da diecimila euro a cinquantamila euro”>> si applica la sanzione suddetta Violazione delle disposizioni indicate nell'articolo 167 sanzione del pagamento di una somma da ventimila euro a centoventimila euro, con possibilità del pagamento in misura ridotta

  42. 3 Introduzione nuove sanzioni pecuniarie 5Valorizzazione ruolo “normativo” del Garante Inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto ex art. 154, comma 1, lettere c) e d) in ogni caso, pagamento di una somma da trentamila euro a centottantamila euro Art. 154 Il Garante ha il compito di: c) prescrivere anche d'ufficio ai titolari del trattamento le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti, ai sensi dell'articolo 143; d) vietare anche d'ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o disporne il blocco ai sensi dell'articolo 143, e di adottare gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali

  43. 3 Introduzione nuove sanzioni pecuniarie 5Valorizzazione ruolo “normativo” del Garante ESEMPI DI PROVVEDIMENTI DEL GARANTE SANZIONABILI - Provv. 27/11/2008 Amministratori di sistema - Provv. 19/6/2008 Semplificazioni tratt. amministrativi e contabili - Provv. 1/3/2007 Controlli su internet ed e-mail (in parte: “prescrive ai datori di lavoro privati e pubblici, ai sensi dell'art. 154, comma 1, lett. c), del Codice, di adottare la misura necessaria a garanzia degli interessati, nei termini di cui in motivazione, riguardante l'onere di specificare le modalità di utilizzo della posta elettronica e della rete Internet da parte dei lavoratori (punto 3.1.), indicando chiaramente le modalità di uso degli strumenti messi a disposizione e se, in che misura e con quali modalità vengano effettuati controlli”) - Provv. 29/4/2004 Videosorveglianza ESEMPI DI PROVVEDIMENTI DEL GARANTE NONSANZIONABILI - Provv. 13/10/2008 Rottamazione HD - Provv. 26/06/2008 Linee Guida per consulenti e periti

  44. Linee guida per posta elettronica e internet (Deliberazione n. 13 del 1° marzo 2007)

  45. Linee guida per posta elettronica e internet (Deliberazione n. 13 del 1° marzo 2007) • Struttura fondamentale- • 4 punti • Con il provvedimento n. 13/2007 il Garante: • prescrive alcuni adempimenti obbligatori • adotta numerose Linee Guida a garanzia degli interessati • vieta alcuni comportamenti che integrano il controllo a distanza • stabilisce una nuova ipotesi di “bilanciamento di interessi” relativamente a talune forme di controllo Prescrizioni Linee Guida Divieto “Balance”

  46. Linee guida per posta elettronica e internet (Deliberazione n. 13 del 1° marzo 2007) Decisione su modalità utilizzo Il datore di lavoro deve indicare in ogni caso, chiaramente e in modo particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengano effettuati controlli. Prescrizioni Azione obbligatoria!!! Linee Guida Divieto “Balance” Pubblicità: a seconda del genere e della complessità delle attività svolte, informando il personale con mezzi diverse anche a seconda delle dimensioni della struttura (tenendo conto, ad esempio, di piccole realtà dove vi è una continua condivisione interpersonale di risorse informative).

  47. Linee guida per posta elettronica e internet (Deliberazione n. 13 del 1° marzo 2007) Informativa ex art. 13 Informare comunque gli interessati ai sensi dell'art. 13 del Codice rispetto alle policy stabilite Quanto ai controlli, diritto di essere informati preventivamente, e in modo chiaro, sui trattamenti di dati che possono riguardarli. Devono essere tra l'altro indicate le principali caratteristiche dei trattamenti, nonché il soggetto o l'unità organizzativa ai quali i lavoratori possono rivolgersi per esercitare i propri diritti. Prescrizioni Azione obbligatoria!!! Linee Guida Divieto “Balance”

  48. Linee guida per posta elettronica e internet (Deliberazione n. 13 del 1° marzo 2007) No a sistemi preordinati ai controlli(controlli intenzionali) Principio di fondo:“divieto di installare "apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori" (art. 4, primo comma, l. n. 300/1970), tra cui sono certamente comprese strumentazioni hardware e softwaremirate al controllo dell'utente di un sistema di comunicazione elettronica”ERGO non si può procedere a (NB:, neppure quando i singoli lavoratori ne siano consapevoli) Prescrizioni Limite rigoroso Linee Guida Divieto “Balance” 1. lettura e registrazione sistematica dei messaggi di posta elettronica ovvero dei relativi dati esteriori, al di là di quanto tecnicamente necessario per svolgere il servizio e-mail; 2. riproduzione ed eventuale memorizzazione sistematica delle pagine web visualizzate dal lavoratore; 3. lettura e registrazione dei caratteri inseriti tramite la tastiera o analogo dispositivo; 4. analisi occulta di computer portatili affidati in uso.

  49. 4 Maggiore scalabilità (!) delle sanzioni In caso di più violazioni di un'unica o di più disposizioni di cui al presente Capo, a eccezione di quelle previste dagli articoli 162, comma 2 (comunicazione all’interessato di dati sulla sua salute), 162-bis (conservazione dati di traffico) e 164 (omessa informazione o esibizione al Garante), commesse anche in tempi diversi in relazione a banche di dati di particolare rilevanza o dimensioni, si applica la sanzione amministrativa del pagamento di una somma da cinquantamila euro a trecentomila euro. Non è ammesso il pagamento in misura ridotta.

  50. 4 Maggiore scalabilità (!) delle sanzioni In altri casi di maggiore gravità e, in particolare, di maggiore rilevanza del pregiudizio per uno o più interessati, ovvero quando la violazione coinvolge numerosi interessati, i limiti minimo e massimo delle sanzioni di cui al presente Capo sono applicati in misura pari al doppio. Le sanzioni di cui al presente Capo possono essere aumentate fino al quadruplo quando possono risultare inefficaci in ragione delle condizioni economiche del contravventore

More Related