1 / 22

Struttura del codice sulla privacy :

Struttura del codice sulla privacy :. Finalità del codice :.

lamar-mathis
Download Presentation

Struttura del codice sulla privacy :

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Struttura del codice sulla privacy:

  2. Finalità del codice: -Il codicegarantisce a chiunque il diritto alla protezione dei propri dati personali e assicura che il trattamento degli stessi si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, in particolare del diritto alla riservatezza. La tutela è riconosciuta non solo alle persone fisiche ma anche a quelle giuridiche; la sfera dei diritti fondamentali, eventualmente riconosciuti in altra sede dall’ordinamento alle persone fisiche, viene in tal modo ampliata anche a soggetti diversi dalle persone fisiche (art. 1). -Viene introdotto il “principio di semplificazione nell’elevata tutela” secondo il quale l’elevato grado di tutela dei diritti è assicurato nel rispetto dei principi di semplificazione, armonizzazione ed efficacia delle modalità con le quali sono esercitati i medesimi diritti o devono essere adempiuti gli obblighi previsti a carico dei titolari del trattamento (art. 2).

  3. Ambito di applicazione:

  4. Definizioni:

  5. Definizioni:

  6. Definizioni:

  7. I diritti dell’interessato:

  8. Adempimenti:

  9. 1. L’informativa 1.1. Requisiti: a) le finalità e le modalità del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti (o le categorie di soggetti) a cui possono essere comunicati i dati personali o che possono venirne a conoscenza in qualità di membri della “filiera del trattamento” del titolare (responsabili e incaricati), nonché l’ambito di diffusione dei dati medesimi; e) i diritti di cui all'articolo 7; f) gli estremi identificativi del titolare e, se designato, del responsabile (e del rappresentante nel territorio dello Stato); - ulteriori elementi indicati dal codice in caso di determinati trattamenti.

  10. 1. L’informativa 1.2. Casi di esclusione: a)i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; b)i dati sono trattati ai fini dello svolgimento di investigazioni difensive, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento; c) l’informativa all’interessato comporta un impiego di mezzi che il Garante dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli, a giudizio del Garante, impossibile. Nel caso in cui i dati personali non siano raccolti presso l’interessato, l’obbligo dell’informativa è escluso se: … diversamente l’informativa dovrà essere fornita all’interessato all’atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione.

  11. 2. Il consenso 2.1. Requisiti: a) deve essere necessariamente espresso dall’interessato affinché il titolare possa procedere al trattamento di dati personali; b) può riguardare l’intero trattamento ovvero una o più operazioni dello stesso; c) è validamente prestato solo se: - è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato; -è documentato per iscritto (quando il trattamento riguarda dati sensibili deve essere manifestato per iscritto); -è stata resa all'interessato l’informativa di cui all'articolo 13.

  12. 2. Il consenso 2.2. Casi di esclusione: Oltre che nei casi previsti nella Parte II il consenso non è richiesto quando il trattamento: a)è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato; c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati; d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale;

  13. 2. Il consenso 2.2. Casi di esclusione: e) è necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo; f) è necessario ai fini dello svolgimento di investigazioni difensive, o, comunque, per far valere o difendere un diritto in sede giudiziaria; g) è necessario, nei casi individuati dal Garante, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, anche in riferimento all’attività di gruppi bancari e di società controllate o collegate; h) è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il perseguimento di scopi determinati e legittimi individuati dall’atto costitutivo, dallo statuto o dal contratto collettivo; i) è necessario, in conformità ai rispettivi codici di deontologia, per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici.

  14. 3. La nomina del responsabile 1) facoltatività della nomina (che deve essere effettuata per iscritto ed accettata dal soggetto cui è conferita la funzione, e può ricadere su una persona fisica o giuridica, anche non facente parte dell’organizzazione del titolare); 2) sua individuazione tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza; 3) possibilità di designare responsabili più soggetti, anche mediante suddivisione di compiti, per esigenze organizzative; 4) specificazione analitica dei compiti affidati al responsabile, che deve avvenire per iscritto; 5) svolgimento della funzione di responsabile in conformità alle istruzioni impartite dal titolare il quale vigila, anche tramite verifiche periodiche, sulla puntuale osservanza delle disposizioni in materia di trattamento dei dati e delle proprie istruzioni.

  15. 4. La nomina degli incaricati 1)le operazioni di trattamento possono essere effettuate (oltre che dal titolare e dal responsabile) anche da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite; 2)la designazione dell’incaricato deve essere effettuata: - per iscritto, con individuazione puntuale dell’ambito del trattamento consentito; - oppure tramite documentata preposizione della persona fisica ad un’unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima; 3)pur non essendo previsto dal codice, è opportuno che l’atto di nomina o quello di preposizione di una persona ad una determinata unità sia sottoscritto, per accettazione, dall’incaricato.

  16. Misure di sicurezza: Sono disciplinate sia nel testo del codice (artt. 31-36) che dal Disciplinare Tecnico contenuto nell’allegato B. 1. La regola generale Il Titolare del trattamento deve adottare idonee e preventive misure di sicurezza per ridurre al minimo i rischi di: a) distruzione/ perdita dei dati; b) accesso non autorizzato; c) trattamento non consentito o non conforme alla finalità della raccolta.

  17. Misure di sicurezza: 2. Le misure minime di sicurezza Di adozione obbligatoria, sono necessarie ma non sufficienti, nel senso che il titolare è comunque tenuto a garantire la sicurezza dei dati con strumenti idonei in relazione al caso concreto e ne risponde sia penalmente che civilmente.   Le misure di sicurezza si distinguono a seconda che il trattamento sia effettuato o meno con l’ausilio di mezzi elettronici.   Qualora siano trattati dati sensibili sono previste misure ulteriori.

  18. 2.1. Trattamento con strumenti elettronici Misure minime di sicurezza per tutti i trattamenti a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti, accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, ripristino della disponibilità di dati e sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza.

  19. 2.1. Trattamento con strumenti elettronici Misure minime di sicurezza per tutti i trattamenti Autenticazione è l’identificazione di chi effettua il trattamento. Credenziali per l’autenticazione sono i mezzi attraverso i quali è effettuata l’identificazione, che solitamente sono: a)la parola chiave, esclusiva, può essere conosciuta solo dall’incaricato e deve essere cambiata ogni sei mesi, tre mesi se sono trattati dati sensibili. Le modalità per accedere al computer in assenza dell’incaricato devono essere prestabilite dal titolare per iscritto e devono osservare determinate regole stabilite dall’Allegato B al codice; b)il codice identificativo personale, esclusivo. Profilo di autorizzazione è l’individuazione dei trattamenti consentiti a ciascun incaricato e dei dati che ne costituiscono l’oggetto, che deve essere fatta preventivamente al trattamento per iscritto, essere limitata ai dati il cui trattamento è necessario, e riverificata con cadenza almeno annuale.

  20. 2.1. Trattamento con strumenti elettronici Misure minime di sicurezza per tutti i trattamenti La protezione contro il rischio di intrusione di programmi pirata è da assicurarsi con programmi da aggiornarsi con cadenza almeno semestrale. I programmi volti a prevenire le vulnerabilità degli strumenti e a correggerne i difetti devono essere aggiornati con cadenza almeno annuale, semestrale se sono trattati dati sensibili. Deve essere assicurato il salvataggio dei dati con frequenza almeno settimanale. La tenuta di un aggiornato documento programmatico sulla sicurezza è ora prevista a carico di tutti i titolari di trattamenti di dati personali. Il Titolare deve riferire nella Relazione accompagnatoria del bilancio d’esercizio, se dovuta, l’intervenuta redazione o l’aggiornamento del documento programmatico sulla sicurezza.

  21. 2.1. Trattamento con strumenti elettronici Misure ulteriori per il trattamento di dati sensibili Oltre a tutte le misure elencate sopra, sono inoltre necessarie: a) tecniche di cifratura o codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari; b) redazione del documento programmatico sulla sicurezza entro il 31 marzo di ogni anno, contenente le informazioni elencate nell’allegato B al Codice (art. 19); c) idonei strumenti elettronici di protezione contro accessi abusivi; d) regole per la custodia e l’uso dei supporti rimovibili su cui sono memorizzati i dati; e) distruzione dei supporti non utilizzati o cancellazione in modo tecnicamente non ricostruibile dei dati ivi memorizzati; f) misure per assicurare il ripristino dell’accesso ai dati da parte degli interessati in caso di danneggiamento dei dati o degli strumenti in tempi compatibili con i diritti degli interessati e comunque non oltre sette giorni; g) ottemperanza a regole particolari dettate dall’allegato B art. 24 per i trattamenti effettuati da organismi sanitari ed esercenti professioni sanitarie.

  22. 2.2. Trattamento senza strumenti elettronici Misure minime di sicurezza a) aggiornamento periodico - almeno annuale - dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative. Agli incaricati devono essere impartite istruzioni scritte; b) previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c) previsione di procedure per la conservazione di determinati atti, in particolare quelli contenenti dati sensibili, in archivi ad accesso selezionato e disciplina delle modalità d’accesso finalizzata all’identificazione degli incaricati che lo effettuano. Nota bene: se per l’implementazione delle misure di sicurezza il titolare si avvale di un soggetto esterno, l’installatore dovrà descrivere per iscritto l’intervento e attestarne la conformità al disciplinare tecnico allegato al codice.

More Related